F. L. Bauer 


Entzifferte 

Geheimnisse 

Methoden und Maximen 
der Kryptologie 



Dritte, überarbeitete und erweiterte Auflage 



Springer 










Entzifferte Geheimnisse 



Springer 

Berlin 

Heidelberg 

New York 

Barcelona 

Hongkong 

London 

Mailand 

Paris 

Singapur 

Tokio 



Friedrich L. Bauer 


Entzifferte 

Geheimnisse 

Methoden und Maximen 
der Kryptologie 


Dritte, überarbeitete und erweiterte Auflage 


Mit 166 Abbildungen, 26 Tabellen 
und 16 Farbtafeln 



Dr. rer. nat. Dr. es sc. h.c. Dr. rer. nat. h.c. mult. Friedrich L. Bauer 

Professor emeritus der Mathematik und Informatik 

Technische Universität München 

Institut für Informatik 

Arcisstraße 21, 80333 München 

Deutschland 


ACM Computing Classification (1998): E.3, D.4.6, K.6.5, E.4 
Mathematics Subject Classification (1991): 94A60, 68P25 


ISBN 3-540-67931-6 Springer-Verlag Berlin Heidelberg New York 

ISBN 3-540-62632-8 2. Auflage Springer-Verlag Berlin Heidelberg New York 


Die Deutsche Bibliothek - CIP-Einheitsaufnahme 

Bauer, Friedrich L.: Entzifferte Geheimnisse: Methoden und Maximen der Kryptologie / 
Friedrich L. Bauer. — 3., überarb. u. erw. Aufl. - Berlin; Heidelberg; New York; Barcelona; 
Hongkong; London; Mailand; Paris; Singapur; Tokio: Springer, 2000 
ISBN 3-540-67931-6 

Dieses Werk ist urheberrechtlich geschützt. Die dadurch begründeten Rechte, insbesondere 
die der Übersetzung, des Nachdruckes, des Vortrags, der Entnahme von Abbildungen und 
Tabellen, der Funksendung, der Mikroverfilmung oder der Vervielfältigung auf anderen 
Wegen und der Speicherung in Datenverarbeitungsanlagen bleiben, auch bei nur auszugs¬ 
weiser Verwertung, Vorbehalten. Eine Vervielfältigung dieses Werkes oder von Teilen die¬ 
ses Werkes ist auch im Einzelfall nur in den Grenzen der gesetzlichen Bestimmungen des 
Urheberrechtsgesetzes der Bundesrepublik Deutschland vom 9. September 1965 in der je¬ 
weils geltenden Fassung zulässig. Sie ist grundsätzlich vergütungspflichtig. Zuwiderhand¬ 
lungen unterliegen den Strafbestimmungen des Urheberrechtsgesetzes. 

Springer-Verlag Berlin Heidelberg New York 

Ein Unternehmen der BertelsmannSpringer Science+Business Media GmbH 
© Springer-Verlag Berlin Heidelberg 1993, 1994, 1995, 1997, 2000 


Die Wiedergabe von Gebrauchsnamen, Handelsnamen, Warenbezeichnungen usw. in die¬ 
sem Werk berechtigt auch ohne besondere Kennzeichnung nicht zu der Annahme, daß 
solche Namen im Sinne der Warenzeichen- und Markenschutz-Gesetzgebung als frei zu 
betrachten wären und daher von jedermann benutzt werden könnten. 

Umschlaggestaltung: design &: production GmbH, Heidelberg 
Farbaufnahmen: Reinhard Krause, Deutsches Museum München 
Satz: Vom Autor in TgX 

Gedruckt auf säurefreiem Papier SPIN 10777934 45/3142ud - 5432 10 



Vorwort 


Gegen Ende der sechziger Jahre begann, unter dem Einfluß der raschen Ent¬ 
wicklung der Mikroelektronik, die Kryptologie aus ihrem verborgenen Dasein 
herauszutreten. Unter den Informatikern wuchs das Interesse an ihr. Damals 
konnte ich das Fehlen einschlägiger Kenntnisse (bei den meisten Informati¬ 
kern) über die lange Entwicklung und den hohen Stand der professionellen 
Kryptologie beobachten. Ich befürchtete, daß dies nachteilig für die kommer¬ 
zielle und wissenschaftliche Entwicklung sein würde und daß die amtlichen 
Dienste in einer Vorteilsposition waren, die sie auch ausnützen würden. 

So kam ich auf den Gedanken, an der Technischen Universität München Vor¬ 
lesungen über dieses Thema zu halten. Gestützt vornehmlich auf das reich¬ 
haltige und zuverlässige Buch “The Codebreakers” (1967) von David Kahn, 
fanden sie erstmals 1977/78, sowie dann 1981 (unter Mitarbeit von Man¬ 
fred Broy ), 1986/87 (unter Mitarbeit von Herbert Ehler ) und seit 1990/91 
wiederholt (unter Mitarbeit von Anton Gerold ) statt. Seit 1995 hat Herr 
Dr. Gerold einen Lehrauftrag für das Gebiet an der Technischen Universität 
München. 

Die Vorlesung im Wintersemester 1977/78 war ein Versuchsballon. Ich kün¬ 
digte sie deshalb an als Spezielle Probleme der Informationstheorie 4 und war 
damit sicher, daß weder zu viele Studenten noch Interessenten von außerhalb 
der Universität kommen würden. Im Sommersemester 1981 kündigte ich eine 
Vorlesung unter dem offenen Titel ,Kryptologie 4 an. Es war sicher die erste 
öffentliche Vorlesung über dieses Thema an einer deutschen, wenn nicht sogar 
an einer kontinentaleuropäischen Universität 1 . 

Ich hielt es für gut möglich, daß die amtlichen Dienste aufmerksam würden; 
allerdings hatte ich keine Ahnung, wie schnell und in welcher Art und Weise 
sie sich bemerkbar machen würden. Es geschah nichts. Als ich dann im 
Wintersemester 1986/87 die Vorlesung wieder hielt, sagte ich trotzdem in 
der ersten Stunde, als ich über den „heimlichen 44 ( clandestine ) Charakter der 
Kryptologie sprach, scherzend zu meinen Studenten: „Wenn Sie eines Tages 
in der Vorlesung die Ihnen bisher unbekannten Gesichter zweier mittelal- 


1 A. Konheim wurde 1978 durch J. Schwartz aufgefordert, eine einsemestrige Vorlesung 
über kryptographische Methoden am Courant Institute der New York University zu 
halten. 
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terlicher Herren mit Anzügen, die sich von den Ihren abheben, bemerken 
sollten, so denken Sie sich etwas.“ Wie es der Zufall wollte, platzten nach 
etwa sechs Wochen zwei Gestalten, auf die meine Beschreibung paßte, in die 
Vorlesung — eine Viertelstunde nach Beginn; aber der Seminarraum 1229, 
in dem sie stattfand, ist schwer zu finden. Geistesgegenwärtig begrüßte ich 
sie mit: „Grüß Gott, die Herren, kommen’s direkt aus Pullach?“ Großes 
Gelächter bei den Studenten und verlegene Gesichter bei den beiden, die mir 
eine Antwort schuldig blieben. So weiß ich bis heute nicht, ob mein Verdacht 
gerechtfertigt war. Ich wiege mich weiterhin in der Hoffnung, daß meine 
Tätigkeit die amtlichen Dienste nicht stört. 

Aus der Vorlesung 1986/87 entstand dann sogar ein Skriptum. Das Drängen 
der Studierenden nach einer regelmäßigen Kryptologie-Vorlesung wurde da¬ 
durch vielleicht sogar verstärkt, und so kam es nach meiner Emeritierung 
noch zur Vorlesung 1990/91 und zu einer um die Kryptanalyse erweiterten, 
die ich im Sommersemester 1993 und Wintersemester 1993/94 abhielt. Das 
nunmehr durch die Kryptanalyse ergänzte Skriptum führte dann zu einem 
Studienbuch, das in erster Auflage 1993, in zweiter 1994 erschien. Eine Aus¬ 
gabe mit festem Einband wurde erweitert und gründlich überarbeitet. Sie 
wurde möglich durch das rege Interesse, das das Buch auch außerhalb der 
Fachwelt gefunden hat. Die vorliegende dritte Auflage, die zu der englischen 
Ausgabe parallel läuft, wurde wiederum überarbeitet und erweitert. 

Ich habe insbesondere versucht, auf den nichtmathematischen Leser Rück¬ 
sicht zu nehmen. In einer lobenden Besprechung des Buches schrieb Thomas 
von Randow in der ZEIT: „... daß der Text in dem Maße, in dem er sich 
den Verfahren der modernen Wissenschaft nähert, an Trockenheit zunimmt. 
So werden die meisten Leser, die Kryptologie nicht studieren müssen, ... 
die Lektüre vorzeitig beenden. Dennoch wird niemand den Kauf bereuen. 
Geraten sei allerdings jenen, die den ersten Buchteil nicht bis zur Neige 
ausschöpfen möchten oder können, mit dem zweiten Teil ,Kryptanalyse‘ er¬ 
neut zu beginnen. Dort findet sich nicht nur viel Leicht verständliches, ... 
sondern auch Anregendes.“ Diese den Kern treffende Anregung soll dem Le¬ 
ser des Buches nicht vorenthalten werden. Die Kryptanalyse bietet in der Tat 
eine Fülle vergnüglicher Einzelheiten. Das Ganze muß jedoch auf die inneren 
Zusammenhänge hin ausgerichtet werden, und dafür ermöglicht der mathe¬ 
matische Formalismus die kürzeste und auch klarste Darstellung. Die nach 
Mathematik riechenden Einsprengsel mag mancher Leser auch überschlagen, 
zumindest bei der ersten Lektüre; er wird dann auf sie zurückgreifen können, 
wenn er gewisse Einzelheiten genauer oder auch ganz genau verstehen will. 
Im übrigen ist die verwendete Mathematik ganz elementar und liegt im Stoff¬ 
umfang der Oberstufe des Gymnasiums. 

Ich bin es dem Leser nun doch schuldig, zu erklären, wo mein Interesse an 
der Kryptologie und meine Vertrautheit mit ihr herrührt. Vorab, mein größ¬ 
ter Vorteil ist, daß ich nie Angehöriger eines Dienstes war. Ich stehe also 
unter keiner irgendwie gearteten Schweigepflicht. Wohl konnte ich jedoch 
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meine Augen offenhalten und meine Ohren gebrauchen; mein wissenschaftli¬ 
ches Metier war auch ein günstiger Ausgangspunkt für mancherlei Gespräche. 
Trotzdem weiß ich nie, ob ich das, was ich weiß, auch wissen darf. Jedoch fing 
es zunächst ganz harmlos an: 1951 erzählte ich Wilhelm Britzelmayr , meinem 
damaligen Logikprofessor an der Ludwig-Maximilians-Universität München, 
von meiner Erfindung eines fehlerkorrigierenden Codes für Fernschreibver¬ 
bindungen 2 . Das löste bei ihm eine falsche Assoziation aus, und er gab mir 
ein paar Tage darauf ein Exemplar des eben erschienenen Buches von Sacco 3 . 
Ich hatte insofern Glück, als es das beste Buch war, das ich damals bekommen 
konnte — was ich allerdings nicht wußte — , und ich verschlang es. Von da an 
kam ich von der Kryptologie nicht mehr los. Zudem legte mir mein Mitassi¬ 
stent und (fast väterlicher) Freund Paul August Mann , der von meinem Inter¬ 
esse an Shannons Arbeiten über redundanzmindernde Codierung wußte, eines 
Tages im Jahr 1951 die inzwischen berühmte, aber damals als Bell System 
Technical Report nur schwer zugängliche Arbeit von Claude Shannon “Com- 
munication Theory of Secrecy Systems” auf den Tisch 4 . Ich war fasziniert von 
diesem Hintergrund der mir bereits geläufigen mathematischen Informations¬ 
theorie Shannons. Dies prägte mein Interesse für Kryptologie, aufgefaßt als 
Seitengebiet der Theorie der Codierung und der formalen Sprachen im weite¬ 
sten Sinn — einem Gebiet, das mich lange Jahre wissenschaftlich beschäftig¬ 
te. In den frühen fünfziger Jahren wurde mir dann von meinem Chef Robert 
Sauer der Entwurf einer Dissertation „Hilfsgeräte der Kryptographie“ von 
Postrat Dipl.-Ing. Willi Jensen (Flensburg) mit der Bitte um Begutachtung 
vorgelegt. Diese sehr aufschlußreiche Arbeit wurde nicht veröffentlicht. Merk¬ 
würdige Zufälle oder vielleicht geschärfte Aufmerksamkeit — führten mich 
dann immer wieder zu Berührungen mit Persönlichkeiten, die der Kryptolo¬ 
gie näher standen: mit Karl Stein (München) 1955, mit meinem Mainzer 
Kollegen Hans Rohrbach 1959, mit Helmut Grunsky und Ernst Witt. Auch 
mit Erich Hüttenhain (Bad Godesberg) wurde ich 1957 bekannt; unsere Ge¬ 
spräche über maschinelle Kryptologie konnten aber den Umständen gemäß 
in gewisse Details nicht gehen. Unter den amerikanischen und britischen 
Berufskollegen, mit denen ich engeren wissenschaftlichen Kontakt hatte, wa¬ 
ren sicher einige, die im 2. Weltkrieg der Kryptologie nahestanden; doch 
darüber „sprach man nicht“, insbesondere nicht vor 1976, dem Jahr, in 
dem auf einem Symposium in Los Alamos B. Randeil und I. J. Good erste 
Einzelheiten aufdeckten. Kerngegenstand meines Interesses war jedenfalls, 
meinem wissenschaftlichen Metier entsprechend, über all die Jahre hinweg 
die ,maschinelle Kryptanalyse c . Andere wichtige Apekte von SIGINT, wie 
‘traffle analysis’ und ‘direction fmding’, liegen nicht in der Reichweite die¬ 
ses Buches, ebensowenig physikalische Maßnahmen zur Abschirmung der von 
Chiffriermaschinen ausgehenden elektromagnetischen Strahlung. 


2 DBP Nr. 892767, angemeldet 21. Januar 1951. 

3 General Luigi Sacco , Manuel de Cryptographie. Payot, Paris 1951. 

4 Bell Systems Technical Journal 28 , Oct. 1949, p. 656-715. 
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Dieses Buch enthält im ersten Teil die kvyptographischen Methoden. Über 
Kryptanalyse bringt es im zweiten Teil vor allem Hinweise, die für die Ver¬ 
fahrensbeurteilung wichtig sind und den Benutzer kryptographischer Me¬ 
thoden vor unliebsamen Überraschungen bewahren sollen. Eingedenk der 
Maxime von Kerckhoffs bemühte ich mich stets, meinen Studierenden auch 
grundlegende Erfahrungen in der Kryptanalyse zu vermitteln. Eine theoreti¬ 
sche Vorlesung über bloße Methoden erschien mir blutleer. Hier sind aber 
Grenzen zu beachten: Der Spaß, den der neugierige Student zunächst an 
der unbefugten Entzifferung hat, könnte ihn vergessen lassen, daß profes¬ 
sionelle Kryptanalyse ein hartes Geschäft ist. Auch kann man ihm keinen 
Höchstleistungsrechner wie CRAY unbeschränkt zur Verfügung stellen — 
es ist aber erstaunlich, wie viel man schon mit einem Arbeitsplatzrechner 
machen kann. Bedrückend ist, daß die amtlichen Dienste ein solches Un¬ 
ternehmen entweder als uninteressant einstufen müssen — wozu sollte man 
sich dann die Mühe machen — oder als gefährlich (‘ sensitive'); es gibt kaum 
Spielraum dazwischen. 

Meine intellektuelle Freude an der maschinellen Kryptologie konnte ich dann 
ab 1984 so richtig ausleben beim Aufbau des kryptologischen Kabinetts in der 
von mir konzipierten, 1988 eröffneten Sammlung „Informatik“ des Deutschen 
Museums München. Der Besuch der Ausstellung sei dem Leser wärmstens 
empfohlen. Mit freundlicher Genehmigung der Generaldirektion ist im An¬ 
hang der einschlägige Ausschnitt aus dem aktualisierten Führer durch die 
Ausstellung „Informatik“ abgedruckt. 

Mein herzlicher Dank geht auch an die Herren Manfred Broy, Herbert Ehler , 
Anton Gerold und Hugh Casement (München), die mir in vielerlei Weise be¬ 
hilflich waren; den Herren Karl Stein , Otto Leiberich , Ralph Erskine , 
Frode Weierud , Heinz Ulbricht , Tony Sale , Kjell-Ove Widman , Otto J. Horak 
und Fritz-Rudolf Güntsch danke ich für anregende Gespräche und informati¬ 
ven Briefwechsel. Dem Deutschen Museum in München sei überdies gedankt 
für die Überlassung der von Herrn Reinhard Krause angefertigten Farbauf¬ 
nahmen. Bei der Beschaffung weiterer Bildvorlagen und schwer zugänglicher 
Literatur kam mir auch die Hilfe der Crypto AG, Zug (Schweiz) sehr gelegen. 
Meinen besonderen Dank möchte ich abstatten Herrn Kirk H. Kirchhof er, 
Oberägeri. Dr. Hildegard Bauer-Vogg half mir bei den Korrekturen und bei 
der Übersetzung schwieriger lateinischer Texte, Martin Bauer , Ulrich Bauer 
und Bernhard Bauer lieferten Zeichnungen und Berechnungen; auch ihnen 
sei gedankt. 

Herrn J. Andrew Ross, dem copy editor der englischen Ausgabe, verdanke ich 
zahlreiche Hinweise auf klärungsbedürftige Punkte im deutschen Text. Herr 
Dr. Hans Wössner vom Springer-Verlag war mir in vieler Weise behilflich; 
ihm danke ich wieder einmal für die gute Zusammenarbeit und für die reiche 
Ausstattung des Buches. 


Grafrath, Sommer 2000 


F. L. Bauer 
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c ars ipsi secreta magistro ’ 
[Eine selbst einem Meister verborgene Kunst] 
Jean Robert du Carlet, 1644 


„Der Schutz sensibler Information ist ein Anliegen, 
das bis in die Anfänge menschlicher Kultur reicht “ 

Otto Horak, 1994 


„„Denn es ist besser für den Schreiber, sich als Dummkopf ansehen zu lassen, 
als den Preis für die Aufdeckung seiner Pläne zu bezahlen“ 

Giovanni Battista Porta, 1563 



Giovanni Battista Porta 
(1535-1615) 



Die Leute 



W. F. Friedman 



M. Rejewski A. M. Turing 


Vor wenigen Jahren noch war die Kryptologie, die Lehre von den Geheim¬ 
schriften und ihrer unbefugten Entzifferung, ein recht im Verborgenen blü¬ 
hender Zweig — blühend, weil von alters her ihre professionellen Vertreter 
gut ernährend. Denn die Kryptologie ist eine echte ,Wissenschaft‘: Es geht 
um Wissen, um erfahrenes (,tradiertes‘) ebenso wie um erprobtes. 

Ihrer Natur nach handelt sie nicht nur von Geheimschriften, sondern bleibt 
auch selbst etwas im Geheimen — gelegentlich auch im Obskuren. Sie ist 
fast eine Geheimwissenschaft. Die klassische offene Literatur ist spärlich 
und schwierig aufzufinden: Mit dem Aufkommen allmächtiger Staatsgewal¬ 
ten müssen sich die professionellen Kryptologen in diplomatischen und mili¬ 
tärischen Diensten weitgehend in die Anonymität begeben oder doch wenig¬ 
stens eine Zensur ihrer Veröffentlichungen hinnehmen. Dementsprechend gab 
die offene Literatur nie völlig den Wissensstand wieder — man darf anneh¬ 
men, daß es heute nicht anders ist. 

Verschiedene Länder sind dabei unterschiedlich zurückhaltend: Während die 
Vereinigten Staaten von Amerika — wen wundert das — recht großzügig ei¬ 
nige Informationen über die Situation im 2. Weltkrieg herausließen, hüllte sich 
die damalige Sowjetunion in Schweigen. Aber auch Großbritannien pflegt eine 
Geheimniskrämerei, die manchmal — so in der Sache ‘COLOSSUS’ — unan¬ 
gemessen erscheint. Lediglich über den Stand der Kryptologie im Deutschen 
Reich wurde nach dem Zusammenbruch 1945 offen berichtet. 1 

Die Kryptologie ist eine Jahrtausende alte Wissenschaft. Ihre Entwicklung 
stand mit der Entwicklung der Mathematik zumindest personell gelegentlich 
in Berührung — Namen berühmter Leute wie Frangois Viete (1540-1603) 
und John Wallis (1616-1703) tauchen auf. In einer modernen mathemati¬ 
schen Betrachtungsweise zeigt sie statistische ( William F. Friedman, 1920), 
algebraisch-kombinatorische ( Lester S.Hill, 1929) und stochastische Züge 
(Claude E. Shannon, 1941). 


1 Hans Rohrbach , Mathematische und maschinelle Methoden beim Chiffrieren und Dechif¬ 
frieren. In: FIAT Review of German Science 1939-1941: Applied Mathematics, Part I, 
Wiesbaden 1948. 
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Der 2. Weltkrieg brachte endgültig die Mathematiker an die kryptologische 
Front: Beispielsweise standen sich gegenüber Hans Rohrbach (1903-1993) 
in Deutschland, 2 Alan Turing (1912-1954) in England; 3 in den USA waren 
A. Adrian Albert (* 1905) und Marshall Hall (1910-1990) engagiert, 4 in Polen 
Marian Rejewski (1905-1980), in Schweden Arne Beurling (1905-1986), in 
Norwegen Ernst S. Selmer (* 1920), in den Niederlanden Maurits de Vries. 

Mathematische Disziplinen, die nach dem heutigen Stand für die Kryptolo¬ 
gie von Belang sind, umfassen unter anderem: Zahlentheorie, Gruppentheo¬ 
rie, Kombinatorik, Relationentheorie, Komplexitätstheorie, Ergodentheorie, 
Informationstheorie . „Das Schlüssel- und Entzifferungswesen ist bereits prak¬ 
tisch als Untergebiet der Angewandten Mathematik anzusehen“ (Kirk H. 
Kirchhofer). Für den Informatiker gewinnt die Kryptologie zusehends prakti¬ 
sche Bedeutung, mehr und mehr gebraucht der Kryptologe die Informatik. 

Man kennt also die Namen einiger Mathematiker der neueren Zeit, die kürzere 
oder längere Zeit kryptologisch tätig waren. Im allgemeinen ist es aber 
verständlich, wenn hoheitliche Geheimdienste selbst die Namen führender 
Kryptologen nicht der Öffentlichkeit preisgeben. 5 Zu sehr lebt die professio¬ 
nelle Kryptologie unter den Gefahren nachrichtendienstlicher Bemühungen. 
Es ist bedeutsam, den potentiellen Gegner über die eigenen Ansichten zur 
Auswahl von Verfahren (die ,Chiffrierphilosophie‘) ebenso im unklaren zu 
lassen wie über die eigenen Fähigkeiten zum unbefugten Entziffern. Ge¬ 
lingt aber eine unbefugte Entzifferung den Engländern gelang sie 1940 für 
die ENIGMA-Chiffrierung —, so ist es wichtig, diesen Sachverhalt vor dem 
Gegner zu verbergen und sich nicht durch Reaktionen zu verraten. So blie¬ 
ben infolge britischer Klugheit die maßgeblichen deutschen Stellen bis 1944 


2 Eine nennenswerte Anzahl bekannter deutscher Mathematiker könnte hier aufgelistet 
werden, darunter Georg Hamei (1877-1954), Hans Rohrbach (1903-1993), Wolfgang 
Franz (1905-1996), Karl Stein (* 1913), Helmut Grunsky (1904-1986), Gottfried Köthe 
(1905-1989), Ernst Witt (1911-1991), Theodor Kaluza (1910-1994), Gisbert Hasenjäger 
(*1919), zeitweilig (Mitte 1941-Mitte 1943) auch der geniale, aber als fanatischer Nazi 
mit Aktionen gegen Landau und Courant unrühmlich hervorgetretene Oswald Teichmül¬ 
ler (1913-1943). 

3 Auch in Großbritannien wurden im 2. Weltkrieg zahlreiche Mathematiker rekrutiert, 
darunter Maxwell Herman Alexander Newman (1897-1984), Gordon Welchman (1906- 
1985), sowie Peter Hilton, Shaun Wylie, Dennis W. Babbage, J. H. C. (Henry) White- 
head, Donald Michie, Rolf Noskwith, William Thomas Tutte , und einige Schachmeister, 
darunter Hugh Alexander, Stuart Milner-Barry und Harry Golombek. 

4 sowie Howard T. Engstrom, Andrew M. Gleason, die Logiker J. Barkley Rösser, Willard 
Van Orman Quine und die Angewandten Mathematiker Vannevar Bush, Warren Weaver. 

5 Admiral H. P. F. Sinclair, der 1923 Chef des britischen Entzifferungsdienstes wurde, war 
unter seinem Spitznamen ‘Quex’ bekannt. Offiziös wurde er, wie auch sein Nachfolger 
General Sir Stewart Graham Menzies (1890-1968), im 2. Weltkrieg Chef des British Se- 
cret Intelligence Service (M.I.6), damals allgemein nur mit ”C” bezeichnet. ”C” herrschte 
über eine größere Anzahl von ‘Passport Control Officers’, die an den Botschaften tätig 
waren, ebenso wie über die kryptanalytische Truppe in Bletchley Park. Und der Name 
von Ernst C. Fetterlein (-1944), der dem Zaren bis 1918 als Chef des Entzifferungsbüros 
diente und seit den 20er Jahren im Dienst der Government Code and Cypher School 
des Foreign Office stand, wurde erst 1985 von Christopher Andrew und 1986 von Nigel 
West in der offenen kryptologischen Literatur erwähnt. Andrew Hodges schreibt sogar 
(vermutlich Hörfehler) den Namen falsch: Feterlain. 
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(und einige einsichtslose Leute bis 1974) überzeugt, die Chiffrierung ,ihrer‘ 
ENIGMA-Maschine sei nicht zu brechen. 

Die Vorsicht der Alliierten ging so weit, daß sie auch Desinformation der ei¬ 
genen Leute einkalkulierten: Capt. L. F. Safford, U.S. Navy, Office of Naval 
Communications, Cryptography Section schrieb in einem internen Bericht 
vom 18. März 1942, nach Rückkehr von Capt. A. Sinkov und Lt. L. Rosen im 
Februar 1941 von einer informativen Reise zu den Briten, ignorant oder wider 
besseres Wissen: “Our prospects of ever breaking the German ‘Enigma’ ci- 
pher machine are rather poor”. Der Bericht war allerdings in erster Linie an 
seine Untergebenen in OP-20-G der U.S. Navy gerichtet. 

Im Krieg müssen Material und sogar Menschen geopfert werden, um ander¬ 
weitig größere Verluste zu ersparen. In England gab es nach dem Krieg einige 
Diskussionen darüber, ob die Bombardierung von Coventry im November 
1940 durch Mitlesen des ENIGMA-chiffrierten Funkverkehrs der deutschen 
Kampfgruppe 100 hätte abgewendet werden können. Da die Angriffsziele mit 
Zahlen bezeichnet wurden, war dies in der Tat nicht möglich. Jedoch waren 
die Briten zunächst sehr bestürzt, als die Amerikaner Mitte 1943 begannen, 
alle Tanker-U-Boote zu vernichten, deren Positionen sie durch den inzwischen 
geglückten Bruch der 4-Rotoren-ENIGMA im Netz des Oberbefehlshabers 
der U-Boote erfuhren. Sie waren zu Recht besorgt, daß die Deutschen Ver¬ 
dacht schöpfen und ihr ENIGMA-System wieder ändern könnten — sie taten 
es nicht, sondern führten die Verluste fälschlicherweise auf Verrat zurück. 
Wie berechtigt die Sorge der Alliierten war, zeigte sich, als sie erfuhren, daß 
die Kriegsmarine ab l.Mai 1945 eine Änderung des Chiffrierverfahrens vor¬ 
bereitet hatte, die alle bisherigen Entzifferungsmethoden zunichte gemacht 
hätte. “This change could probably have been implemented much earlier if 
it had deemed worthwhile” (Ralph Erskine). 

Dieses Meisterstück von Gewährleistung der Sicherheit der Nachrichtenbe¬ 
schaffung wurde offiziell “intelligence resulting from the solution of high-grade 
codes and ciphers” genannt, kurz “Special Intelligence”, britischer Deckname 
ULTRA. Die U.S.-Amerikaner nannten MAGIC die Informationen, die sie 
aus dem Einblick in die japanische PURPLE-Chiffrierung erzielten. ULTRA 
wie MAGIC entgingen den Spionen der Achsenmächte. 

Berührung hat die Kryptologie auch mit der Kriminalistik. Hinweise auf 
kryptographische Methoden finden sich in einigen Lehrbüchern der Krimina¬ 
listik, meist begleitet von Berichten über geglückte Entzifferung der Bot¬ 
schaften von noch nicht gefaßten Verbrechern — Schmugglern, Rauschgift¬ 
händlern, Schiebern, Erpressern, Wettbetrügern — und von bereits einsitzen¬ 
den, denen es um Geldbeschaffung, Ausbruchspläne und Zeugenbeeinflussung 
geht. Vor Gericht mag für die Überführung der Angeklagten das Gutachten 
von Kryptologen ausschlaggebend sein. Hierin erwarb sich zur Zeit der Prohi¬ 
bition in den U.S.A. besondere Verdienste Mrs. E. S. Friedman (1892-1980), 
die Frau des berühmten Kryptologen William Frederick Friedman (1891- 
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1969) 6 und selbst eine professionelle Kryptologin. Sie hatte es vor Gericht 
nicht immer leicht; die Verteidigung versuchte einmal darzulegen, daß man 
aus einer Geheimschrift alles herauslesen könne und daß ihre Entzifferung 
nichts als “an opinion” sei. Auch der schwedische Kryptologe Yves Gylden 
(1895-1963), ein Enkel des Astronomen Hugo Gylden ), half 1934 der Polizei, 
Schmuggler einzufangen. Nur wenige Kriminal-Kryptologen werden bekannt, 
wie der Wiener Siegfried Türkei mit einem Buch 1927 oder Abraham P. Chess 
aus New York anfangs der fünfziger Jahre. Neuerdings hat die sich ausbrei¬ 
tende, kryptographische Methoden verwendende internationale Kriminalität 
begonnen, die besondere Aufmerksamkeit der Kryptanalysis zu erwecken. 
Neben der staatlichen Kryptologie in Diplomatie und Militär steht insbeson¬ 
dere seit dem Beginn der Aufklärung die amateurhafte. Angefangen von der 
Aufdeckung historischer Begebenheiten durch pensionierte Professionelle wie 
Etienne Bazeries 7 bis zum Salonvergnügen, dem sich Wheatstone 8 9 und Bab- 
bage 9 widmeten, mit journalistischem Hintergrund von Edgar Allan Poe bis 
zum Cryptoquip der heutigen Los Angeles Times, mit Ausblicken auf Ok¬ 
kultismus, Marsmännchen und Terrorismus, bietet sich ein bunter Teppich, 
durchsetzt mit Geschichten aus einer der ältesten Sparten der Kryptographie, 
dem Austausch geheimer Botschaften zwischen Liebenden. 

Die um die Mitte des 18. Jahrhunderts aufkom¬ 
menden Briefsteller bieten bald auch kryptogra¬ 
phische Hilfsmittel an, so Allzeitfertiger Brief¬ 
steller von Chrysostomus Erdmann Schröter, 

Leipzig 1743 und Ganz neu entdecktes Kunst¬ 
stück so geheim zu schreiben, dass es kein De- 
chiffreur auflösen kann von einem C. W. P., 

Ulm 1764, oder De geheime brieven-schryver, 
angetoond met verscheydene voorbeelden von ei¬ 
nem G. v. K., Amsterdam 1780, auch Der zau¬ 
berische Schreibekünstler von einem Anonymus, 

Leipzig 1795, ähnlich Dem Magiske skrivekunst- 
ner , Kopenhagen 1796; etwas nüchterner On 
an easy and secure Method of Secret Correspon- 
dence von einem “B” im Quarterly Journal of 
Science , 1822 und ganz unverblümt Tresor des Amans von J.-P.-A. La- 
crouts, Paris 1834. Solcherart Titel, bald angereichert mit Hinweisen auf 
Stenographie und Telegraphie, setzen sich fort bis ins 20. Jahrhundert, be¬ 
sonders hübsch Sicherster Schutz des Briefgeheimnnisses von Emil Katz, 

6 Der wohl bedeutendste U.S.-amerikanische Kryptologe unserer Zeit. Er führte 1920 mit 
dem Index of Coincidence die schärfste Waffe der modernen Kryptanalysis ein. 

7 Etienne Bazeries (1846-1931), wohl der vielseitigste französische Kryptologe gegen Ende 
des 19. Jahrhunderts, Verfasser des Buches ^Les chiffres secrets devoiles» (1901). 

8 Charles Wheatstone (1802-1875), englischer Physiker (,Wheatstone’sche Brücke 4 ). 

9 Charles Babbage (1791-1871), englischer Gelehrter, am bekanntesten durch seine beiden 
Maschinen 'Difference Engine’ und ‘Analytical Engine’. 
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Berlin 1901 und Amor als geheimer Bote. Geheimsprache für Liebende zu 
Ansichts-Postkarten , vermutlich von Karl Peters, Mülheim 1904. 

Ihrer abwechslungsreichen Anzüglichkeiten wegen ist die Historie der Krypto¬ 
logie besonders vergnüglich zu studieren. Vermischt mit sensationsbehafte¬ 
ten Details aus dem l.und 2. Weltkrieg, trat ein solches spannendes Bild 
der Kryptologie in kompakter Form erstmals einer breiten Öffentlichkeit 
entgegen in David Kahns journalistischer wie auch historischer Meisterlei¬ 
stung “The Codebreakers” von 1967. Ende der siebziger Jahre folgten einige 
Ergänzungen aus inzwischen freigegebener britischer Sicht, insbesondere von 
Frederick W. Winterbotham , Patrick Beesley, Brian Johnson und Gordon 
Welchman , die insbesondere die ernste Seite der Kryptologie beleuchten. 

Das kommerzielle Interesse an Kryptologie war nach der Eründung des Tele¬ 
graphen auf die Produktion von Codebüchern und etwa seit Anfang des Jahr¬ 
hunderts auf die Konstruktion von mechanischen und elektromechanischen 
Chiffriermaschinen konzentriert. Elektronische Rechenanlagen wurden in 
Weiterführung der Ansätze aus dem 2. Weltkrieg schon bald zum Brechen von 
Kryptogrammen eingesetzt. Als Chiffriermaschine genügt durchaus ein pro¬ 
grammierbarer Taschenrechner. Aber erst um die Mitte der siebziger Jahre 
wurde ein weitverbreitetes kommerzielles Interesse an der Chiffrierung von 
privaten Nachrichtenkanälen manifest, wobei die Möglichkeiten, die mikro¬ 
miniaturisierte Schaltungen (,Chips 4 ) bieten, mit den Notwendigkeiten, die 
in rechnergestützten Nachrichtensystemen (‘ electronic maiF) auftraten, zu¬ 
sammentrafen. Ein weiteres tat die Verunsicherung, die allerorten durch 
Gesetze zum Datenschutz einerseits, durch Skandalmeldungen über ange¬ 
zapfte Verbindungen (einschließlich Richtmikrophone und Aufzeichnung elek¬ 
tromagnetischer Abstrahlung) oder breitflächige Industriespionage anderer¬ 
seits hervorgerufen wurde. Ein gesteigertes Bedürfnis nach Informations¬ 
schutz trieb die Bedeutung der Kryptologie in früher kaum vorstellbare Hö¬ 
hen. So sind plötzlich private, kommerzielle Anwendungen der Kryptologie 
in den Vordergrund gerückt. Sie zeigen dabei einige nichtorthodoxe Betriebs¬ 
weisen, insbesondere die von Whitßeld Difhe und Martin Hellman 1976 er¬ 
fundenen unsymmetrischen ,öffentlichen‘ Schlüsselsysteme. 

Das Fehlen ausreichenden Quellenschutzes für Programme legt den Einsatz 
von Chiffriermethoden für kommerzielle Software besonders nahe. 

„Kryptologie für jedermann“ ( public cryptography ) tritt aber als eine in sich 
widersprüchliche Forderung auf und führt zu einem Interessenkonflikt der 
Staatsmacht mit der Wissenschaft. Eine Beschäftigung zahlreicher Wissen¬ 
schaftler mit diesem Gebiet wirft in den Großstaaten Probleme der nationa¬ 
len Sicherheit auf. Bezeichnenderweise begann man zuerst in den Vereinigten 
Staaten darüber nachzudenken, ob nicht ein Verbot der privaten Forschung 
auf dem Gebiet der Kryptologie — entsprechend dem bestehenden Verbot der 
privaten Forschung auf dem Gebiet der nuklearen Waffen — erlassen werden 
sollte. Am 11. Mai 1978 — zwei Jahre nach der revolutionären Erfindung 
von Difhe und Hellman — schrieb ein hoher Justizbeamter, John M. Har- 



Die Leute 1 


mon , Assistant Attorney General, Office of Legal Counsel, an Dr. Frank 
Press , Science Advisor to the President “The cryptographic research and de¬ 
velopment of scientists and mathematicians in the private sector is known as 
‘public cryptography’. As you know, the serious concern expressed by the 
academic community over government Controls of public cryptography led 
the Senate Select Committee on Intelligence to conduct a recently concluded 
study of certain aspects of the ßeld”. Diese Umstände betrafen u.a. die Frage, 
ob Einschränkungen aufgrund der International Trafhc in Arms Regulation 
(ITAR) “on dissemination of cryptographic information developed indepen¬ 
dent of government supervision or support by scientists and mathematicians 
in the private sector” unter der Verfassung der U.S.A. (‘First Amendment: 
Freedom of Speech, of the Press etc.’) zulässig seien. 

Es wird festgestellt: “Cryptography is a highly specialized ßeld with an au- 
dience limited to a fairly select group of scientists and mathematicians ... a 
temporary delay in communicating the results of or ideas about cryptographic 
research therefore would probably not deprive the subsequent publication of 
its full impact. Cryptographic information is both vital and vulnerable to an 
almost unique degree. Once cryptographic information is disclosed, the da¬ 
mage to the government ’s interest in protecting national security is done and 
may not be cured.” . Damit wird “a licensing scheme requiring prepublication 
Submission of cryptographic information” für zulässig erklärt, “a prepublica¬ 
tion reviews requirement for cryptographic information, if it provided neces- 
sary procedural safeguards and precisely drawn guidelines” . Ein Verbot der 
privaten Forschung (“a prior restraint on disclosure of cryptographic ideas 
and information developed by scientists and mathematicians in the private 
sector” ) sei jedoch verfassungswidrig. In den achtziger Jahren wurde auf die 
Brisanz des Problems wiederholt hingewiesen, das Justizministerium warnte: 
“export Controls on cryptography present sensitive constitutional issues” . 
Man muß den Dingen ins Gesicht sehen: Kryptosysteme werden nicht nur von 
der U.S. Regierung als Waffen angesehen, Kryptosysteme sind Waffen — so¬ 
wohl Verteidigungswaffen wie auch Angriffswaffen. Wem das nicht klar ist, 
der hat aus dem Verlauf des 2. Weltkriegs nichts gelernt. 

Harmon schrieb ferner: “Atomic energy research is similar in a number of 
ways to cryptographic research. Development in both ßelds has been domina- 
ted by government. The results of government created or sponsored research 
in both ßelds have been automatically classißed because of the imminent 
danger to security ßowing from disclosure. Yet meaningful research in the 
ßeld may be done without access to government information. The results of 
both atomic energy and cryptographic research have signißcant nongovern¬ 
mental uses in addition to military use. The principal difference between 
the ßelds is that many atomic energy researchers must depend upon the go¬ 
vernment to obtain radioactive source material necessary in their research. 
Cryptographers, however, need only obtain access to an adequate Computer.” 
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Mit anderen Worten: Mit Kryptologie ist gefährlicher Umgang noch leichter 
möglich als mit Atomenergie. Wenigstens tötet die Waffe CRYPTO nicht 
unmittelbar — wohl aber deckt sie auch Verbrechen. 

Die Verantwortlichkeit von Regierung und Wissenschaft gegenüber der 
Leichtfüßigkeit kryptologischer Betätigung schlug sich nieder im Computer 
Security Act des U.S.Congress von 1987 (Public Law 100-235). Darin wurde 
ein Computer System Security and Privacy Advisory Board (CSSPAB) ge¬ 
schaffen, mit Mitgliedern aus der Regierung und aus der Computerindustrie. 
Obschon also ein latenter Konflikt vorlag, schien es sich in den USA bis 1993 
zu bestätigen, daß sein Ausbruch durch freiwillige Selbstkontrolle der Wis¬ 
senschaft ( Public Cryptography Study Group ) vermieden werden kann. 
Danach brach jedoch ein Crypto War aus zwischen der Regierung der U.S.A. 
und Bürgerrechtsgruppen, die sich durch den, auch für das CSSPAB überra¬ 
schend, im April 1993 angekündigten und im Februar 1994 veröffentlichten 10 
Escrowed Encryption Standard (EES) herausgefordert fühlten. Er sieht eine 
Hinterlegungspflicht für Schlüssel vor. Anfang Januar 2000 scheint sich eine 
Entspannung für den Krypto-Export abzuzeichnen. Obschon dieser Konflikt 
auf einer anderen als der wissenschaftlichen Ebene, nämlich auf einer politi¬ 
schen, liegt, könnte er doch auch die Freiheit der Wissenschaft gefährden. 

Im liberalen demokratischen Europa sieht es derzeit besser aus; es ist im 
Jahr 2000 nicht zu befürchten, daß die Regierungen Erfolg haben würden 
mit einer Einengung der Wissenschaft. In der Europäischen Union wur¬ 
den allerdings 1994 erste Schritte unter dem Stichwort ‘Euro-Encryption’ ge¬ 
macht, die auch zur Regelung des unausweichlichen Interessenkonfliktes der 
Staatsmacht mit der Wissenschaft führen könnten. 1999 führte Deutschland 
im weltweiten Liberalisierungstrend. Frankreich schaffte 1999 die staatli¬ 
che Schlüsselhinterlegungspflicht ab. In der ehemaligen Sowjetunion wurde 
der Konflikt selbstverständlich im Rahmen des bestehenden Systems erle¬ 
digt, aber heutigen Rußland wie in China und Israel herrscht weiterhin eine 
strenge nationale Überwachung. 

Kryptographie und Kryptanalyse sind die zwei Gesichter der Kryptologie, die 
sich gegenseitig bedingen und beeinflussen, in einem Wechselspiel von Ver¬ 
besserungen zur Erhöhung der kryptanalytischern Sicherheit einerseits und 
von Anstrengungen zu wirkungsvolleren Angriffen andrerseits. Erfolge sind 
ziemlich selten, Mißerfolge sind eher häufig. Die Schweigsamkeit der hoheit¬ 
lichen Dienste hilft auch, ihre Niederlagen zu verbergen. Allen Großmächten 
des 2. Weltkriegs gelang es zumindest gelegentlich, ihre Gegner aufs Kreuz zu 
legen, alle hatten sie aber auch Einbrüche hinzunehmen. Im 21. Jahrhundert 
wird es nicht anders sein, wenn auch Otto Leiberich zuzustimmen ist, daß 
unsichere Chiffrierverfahren mehr und mehr aussterben werden. Die selbst 
beim Gebrauch sicherer Verfahren immer noch unausrottbare menschliche 
Dummheit und Sorglosigkeit wird jedoch weiterhin für Einbrüche sorgen. 

10 Escrowed Encryption Standard (EES), Federal Information Processing Standards Pub- 
lication (FIPS PUB) 185, Febr. 9,1994. 
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«En cryptographie, aucune 
regle n’est absolue .» 
Etienne Bazeries, 1901 

1.1 Kryptographie und Steganographie 

Es ist zu unterscheiden zwischen Kryptographie und Steganographie. Der 
Ausdruck Kryptographie (engl, cryptography , frz. cryptographie) wurde 
als c cryptographie für secrecy in writing 1641 von John Wilkins , neben 
Wallis einem der Gründer der Royal Society , eingeführt; cryptography ver¬ 
wendete 1658 der Arzt Thomas Browne. Die Methoden der Kryptographie 
machen eine Nachricht für den Unbefugten unlesbar, unverständlich — c ars 
occulte scribendf. Im Deutschen spricht man auch von offenen (d.h. offen¬ 
sichtlich als solche erkennbaren) Geheimschriften , engl, overt secret messages. 

Der Ausdruck Steganographie (engl, steganography , frz. steganographie) 
wurde von Caspar Schott , einem Schüler von Athanasius Kircher , in dem 
Buchtitel Schola steganographia , Nürnberg 1665 auch für ,Kryptographie 6 
verwendet; er findet sich schon in dem von Trithemius 1499 begonnenen er¬ 
sten, noch reichlich obskuren Werk Steganographia mit der Bedeutung ,ver¬ 
decktes Schreiben 6 . Die Methoden — 6 a rs sine secreti latentis suspicione scri- 
bendP — zielen darauf ab, die bloße Existenz einer Nachricht (wie immer sie 
auch abgefaßt ist) zu verbergen (engl, conceal) — gedeckte Geheimschriften , 
engl, covert secret messages. Um ein Tagebuch zu führen 1 oder um einem 
Boten zu verwehren, von einer Nachricht Kenntnis zu nehmen, sind krypto- 
graphische Methoden angebracht; um eine Nachricht durch Gefängnistore zu 
schmuggeln 2 , steganographische Methoden. 

Die Steganographie zerfällt in zwei Branchen, die linguistische und die techni¬ 
sche. Nur die erstere hat mit der Kryptographie innere Berührung. Die 
technische Steganographie ist rasch erledigt. Sie arbeitet seit Plinius mit 
Geheimtinten. Bis heute sind Zwiebelsaft und Milch beliebt und bewährt 


1 Von Samuel Pepys (1633-1703) bis Alfred C.Kinsey (1894-1956). 

2 Von Sir John Trevanion (Abb. 13) unter Oliver Cromwell bis zum französischen Bankräu¬ 
ber Pastoure, dessen Überführung Andre Langie beschrieb, und zum Rechtsanwalt und 
Stasi-Agenten Klaus Croissant, der die Baader-Meinhof Bande verteidigte. Der Terrorist 
Christian Klar verwendete eine Buchchiffre. 
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(Braunfärbung beim Erwärmen oder im UV-Licht). Andere klassische Re¬ 
quisiten sind doppelte Böden und hohle Absätze. 

Von modernen Errungenschaften seien erwähnt: Schnelltelegraphie (engl. 
spurts) — Übertragung vorgespeicherten Morsecodes mit 20 Zeichen per Se¬ 
kunde sowie Frequenzbandpermutation bei Sprechfunk (engl, scrambler ), 
heute auch kommerziell weit verbreitet. Im 2. Weltkrieg wurden ab März 1942 
von der ,Forschungsanstalt‘ der Deutschen Reichspost (Postrat Dipl.-Ing. 
Vetterlein ) ungenügend gesicherte Funkferngespräche zwischen Roosevelt 
und Churchill abgehört und über Schellenberg an Himmler weitergeleitet, 
so eines am 29. Juli 1943, unmittelbar vor dem Waffenstillstand mit Italien. 

Für schriftliche Nachrichten wurde revolutionierend die Mikrophotographie; 
das microdot von der Abmessung eines Fliegendrecks nimmt eine ganze Seite 
(DIN A 4) auf — eine grandiose Entwicklung, ausgehend vom Macrodot des 
Histiaeus 3 , der seinen Sklaven kahl schor, ihm die Nachricht auf die Kopfhaut 
schrieb und dann erst warten mußte, bis diesem das Haar wieder gewachsen 
war. Der russische Spion Abel stellte die Microdots auf spektroskopischem 
Filmmaterial her, das er unauffällig kaufen konnte. Sein Kollege Lonsdale ver¬ 
steckte die Microdots im Rücken gebundener Zeitschriften. Die im 2. Welt¬ 
krieg von deutschen Dienststellen verwendeten Microdots schließlich hatten 
gerade die Größe, um als Schreibmaschinenpunkt verwendet zu werden. 


1.2 Semagramme 


Die linguistische Steganographie kennt zwei Klassen von Tarnverfahren: 
entweder eine geheime Nachricht als unverfängliche, offen verständliche Nach¬ 
richt erscheinen zu lassen (engl, open code ) oder in (eventuell winzigen, aber) 
sichtbaren graphischen Details einer Schrift oder Zeichnung auszudrücken 
(Semagramm, engl, semagram). Die letztere Klasse ist vor allem bei Ama¬ 
teuren beliebt. Sie erfüllt allerdings viele Wünsche nicht. Zu verräterisch 
sind graphische Details einem wachsamen Auge. So hat der Einfall des jun¬ 
gen Francis Bacon (1561-1626), zwei Schriftarten (Abb. 1) zu verwenden (pu¬ 
bliziert in der ersten englischen Übersetzung von De augmentis scientiarum , 
1623), keine große praktische Bedeutung erlangt. (Für den Code s. 3.3.3.) 


p g $ 

d &£<i£.£ d<i ££.da ££a.ad fort. 

Jjlidittrt r>ofo doiizG fancny 


Abb. 1. Francis Bacon : Sichtbare Tarnung eines binären Codes (‘biliteral cipher’) 
mittels zweier verschiedener Schriftzeichen-Formen. Man beachte die bei¬ 
den verschiedenen /e/ in Manere 


3 


Kahn schreibt S. 81 Histiaeus , S. 780 Histaeius und im Register gar Histaieus. Wahrlich 
ars occulte scribendi ! 
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Dieses steganographische Prinzip scheint zur selben Zeit auch in Paris be¬ 
kannt gewesen zu sein und wird von Vigenere 1586 erwähnt. Es hat sich über 
die Jahrhunderte gut erhalten: Die jüngsten mir bekannten Verwendungen 
stammen angeblich von van Wijngaarden (kursive und aufrechte Punkte im 
ALGOL 68 Bericht). 

In Königsberg i. Pr. gabelt sich der Pregel und umfließt eine 
Insel, die Kneiphof heißt. In den dreißiger Jahren des acht¬ 
zehnten Jahrhunderts wurde das Problem gestellt, ob es wohl 
möglich wäre, in einem Spaziergang jede der sieben Königsberger 
Brücken genau einmal zu überschreiten. 

Daß ein solcher Spaziergang unmöglich ist, war für L. EULER der 
Anlaß, mit seiner anno 1735 der Akademie der Wissenschaften 
in St. Petersburg vorgelegten Abhandlung Solutio problematis 
ad geometriam situs pertinentis (Commentarii Academiae Petro- 
politanae 8_ (1741) 128-140) einen der ersten Beiträge zur 
Topologie zu liefern. 

Das Problem besteht darin, im nachfolgend gezeichneten Graphen 
einen einfachen Kantenzug zu finden, der alle Kanten enthält. 

Dabei repräsentiert die Ecke vom Grad 5 den Kneiphof und die 
beiden Ecken vom Grad 2 die Krämerbrücke sowie die Grüne 
Brücke. 

Abb. 2. Semagramm in einem Lehrbuch der Kombinatorik 
(„nieder mit dem Sowjet Imperialismus“) 

Ein zweites steganographisches Prinzip besteht im Punktieren ausgewählter 
Zeichen in einem Buch oder in einer Zeitung. Es fällt sehr viel mehr auf als 
das obige Vorgehen (wenn es nicht mit einer Geheimtinte geschieht), ist aber 
einfacher zu bewerkstelligen. Eine Variante (in einem bekannten Buch über 
Kombinatorik) benutzt kaum merklich tiefgestellte Buchstaben (Abb. 2). 


C2wu(dU ohcui, LÜ urad (jcrcrc/ yutusA, for h&zr tkat 
Ljoit häuf ^ownof a> un/ Rvuds. Clnna hojzid 

yoto uriM s^aan cd l? tr A&mh ß'O’)* hutl«. Sll£4 

i/tfj JtacjM to j/ovrv your no'u/' thu? cJu£cImk a/if 
htrtk uselH. dorua 


Abb. 3. Sichtbare Tarnung eines numerischen Codes mittels Absetzen im Schriftzug 


Ein drittes Prinzip verwendet bei Handschriften das Absetzen im Wort als 
Kennzeichnung (Abb. 3). Im Beispiel ist allerdings nicht der Buchstabe ge¬ 
meint, der vor oder nach der Unterbrechung steht, sondern es wird gezählt, 
nach wievielen Buchstaben ein Buchstabe mit einem nach oben gerichte¬ 
ten Abschwung steht also 335151412343335145 . 

(mehr darüber s. ,Anarchistenchiffre‘, 3.3). Dieses steganographische Prinzip 
wurde in Frankreich 1895 von A. Boetzel und Charles O’Keenan den Auto¬ 
ritäten vorgeführt (die sich nicht zu Unrecht ablehnend verhielten), ebenfalls 
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in Verbindung mit einem numerischen Code. Es scheint jedoch in russischen 
Anarchistenkreisen bereits bekannt gewesen zu sein, und zwar eben im Zu¬ 
sammenhang mit der oben erwähnten Anarchistenchiffre. Es wurde auch 
von gefangenen deutschen U-Boot-Offfzieren verwendet, die über alliierte U- 
Boot-Bekämpfungstaktik nach Hause berichteten. 

In all diesen Fällen handelt es sich bei den Semagrammen um ,sichtlich ge¬ 
tarnte Geheimschriften 4 ( Hüttenhain ). Und es gibt viele mehr: Seit der An¬ 
tike bekannt ist das Astragal des JEneas, bei dem durch Löcher geschlungenes 
Garn Buchstaben symbolisiert. Eine Schachtel voll Dominosteine mag ebenso 
eine Nachricht verbergen (durch die Stellung der Steine) wie eine Sendung 
von Taschenuhren (durch die Stellung der Zeiger). Die tanzenden Männchen 
von Sherlock Holmes (Abb. 4) tragen ebenso Nachricht wie ein versteckter 
Morsecode (Abb. 5): u Compliments of CPSA MA to our chief Col. Harold 
R. Shaw on his visit to San Antonio May 1945”. Shaw war seit 1943 
Chef der Zensurbehörde ( Technical Operations Division ) der US-Regierung. 

tfmXufmm 

Abb. 4. Von Sherlock Holmes gelöste Geheimnachricht (AM HERE ABE SLANEY), 
aus “Adventure of the Dancing Men” von Arthur Conan Doyle 



Abb. 5. Semagramm. Die Nachricht steht im Morsecode, der aus kurzen 
und langen Grashalmen links von der Brücke, entlang des Flusses 
und auf der kleinen Mauer gebildet wird 



1.2 Semagramme 13 


Labyrinth: Wo wird der Ballon niedergehen, A or B? 



k v f-- h-e / c 




Abb. 6. Labyrinth und zugehöriger Graph 
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Fig. 7. Autostereogramm 


Bernhard Bauer 


Wie man klar Ersichtliches hinter einem Wust von unwesentlichen Details ver¬ 
birgt, zeigen schlagend die Labyrinthe: Die verschlungenen Wege von Abb. 6 
reduzieren sich auf einen Graphen, den man ,auf den ersten Blick c versteht. 
Auch Autostereogramme, wie sie vor einiger Zeit in Mode gekommen sind, 
eignen sich vorzüglich zum Verstecken von Bildern (Abb. 7) 

Von eigentlichem Interesse sind jedoch, wie gesagt, solche Verfahren der lin¬ 
guistischen Steganographie, die durch Gebrauch von ,unersichtlich getarnten 
Geheimschriften (nach Hüttenhain/OKW ) eine geheime Nachricht als unver¬ 
fänglich und offen (anders) verständlich ausgeben (engl, open code). Sie ste¬ 
hen methodisch der Kryptographie näher. Dabei gibt es wiederum zwei Klas¬ 
sen: Maskierung (mit der Unterklasse der Stichwörter ) und Verschleierung. 
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1.3 Maskierung 

Eine als offene Nachricht maskierte Geheimschrift (engl, masked secret 
writing) erfordert vorherige Absprache über die wahre Bedeutung unverfäng¬ 
licher Floskeln. Hierin dürfte die älteste Form von Geheimhaltungstechniken 
liegen — sie findet sich in allen Kulturen. Orientalischen und fernöstlichen, 
aber auch manchen westlichen Händlern und Spielern wird Meisterschaft 
im Gebrauch von maskierenden Gesten und Ausdrücken nachgesagt. Un¬ 
ter amerikanischen Kartenschwindlern soll folgendes System bekannt sein: 
Die Art, die Zigarette zu halten und sich zu kratzen, zeigt Farbe oder Hände 
an. Eine Hand vor die Brust gehalten, mit abgestrecktem Daumen, bedeutet 
“I am going to take this game. Anybody want to partner with me ? ” Eine 
rechte Hand, Handfläche nach unten, auf dem Tisch bedeutet “Yes” , eine 
Faust “No, Fm working single, and I discovered this guy first, so scram” . 

Der französische Zauberkünstler Robert Houdin (1805-1871) soll um 1845 ein 
ähnliches System benutzt haben, mit I , M , S , V für coeur , carreau , trefle , 
pique; ^ilfait chaud » oder ^ il y a du monde » bedeutet I = „ich habe Herz“. 
In englischen Whist-Clubs der viktorianischen Zeit ging es nicht viel besser 
zu, “Have you seen old Jones in the past fortnight” würde Herz bedeuten, 
da es mit /H/ beginnt. Auf der Bridge-Weltmeisterschaft in Buenos Aires 
1965 geriet das britische Team in den Verdacht, Signale ausgetauscht zu 
haben — natürlich konnte nichts bewiesen werden. 

Manchmal wird eine geheime Nachricht in unverfänglicher Weise maskiert un¬ 
ter Ausnutzung von Umständen, die nur dem Sender und dem Empfänger be¬ 
kannt sind. Das kann auch im Alltag Vorkommen. Ein berühmtes Beispiel hat 
Katja Mann berichtet: Sie telefonierte im März 1933 aus Arosa in der Schweiz 
mit ihrer Tochter Erika in München und sagte: „Ich weiß nicht, es muß doch 
jetzt bei uns gestöbert werden, es ist doch jetzt die Zeit.“ Aber Erika er¬ 
widerte „Nein, nein, außerdem ist das Wetter so abscheulich. Bleibt ruhig 
noch ein bissei dort, ihr versäumt ja nichts“. Nach diesem Gespräch war es 
Thomas und Katja Mann klar, daß sie nicht nach Deutschland zurückkehren 
konnten, ohne sich in Gefahr zu begeben. 

Von den Vaganten des Mittelalters bis zu den Pennern, Tramps und Tip¬ 
pelbrüdern (den ,Kunden‘) findet man den Gebrauch von Geheimzeichen. 
Abb. 8 zeigt einige ,Zinken‘, wie man sie in den dreißiger Jahren in einer mit¬ 
teleuropäischen Kleinstadt noch finden konnte: die Warnung vor der Woh¬ 
nung eines Polizisten und vor einem gewalttätigen Hausbesitzer, Abb. 9 ein 
Gegenstück aus dem amerikanischen Mittelwesten. 



Abb. 8. ,Zinken 4 , die vor der Wohnung eines Polizisten und 

vor einem gewalttätigen Hausbesitzer warnen 
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Almosen 

scharfer Hund 

Polizei freundlich 

Stadt feindlich 
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+ 

<2> 

knauserig 

bleib weg 

Polizei unfreundlich 

Kriminaler hier 


Abb. 9. Geheimzeichen für „Polizei freundlich“ und „Polizei unfreundlich“ und andere 
Botschaften (Mittelwesten der Vereinigten Staaten, erste Hälfte 20. Jh.) 

Winzige Geheimzeichen werden auch in Gravüren für Briefmarken oder Bank¬ 
noten als Merkmal für den Graveur oder Drucker verwendet. 

Sondersprachen beruflicher und gesellschaftlicher Art, allgemein Jargon ge¬ 
nannt, vor allem aber ihre Spielarten aus dem Milieu der Bettler, Vagabun¬ 
den und Gauner: Argot (Frankreich), Alemania (Spanien), Cant (England), 
Thieves’ Latin (England), Rotwelsch (Deutschland), Fourbesque (Italien), 
Caläo (Portugal), die der Abschirmung (und dem Zusammenhalt) einer so¬ 
zialen Gruppe geradezu dienen, bedienen sich oft der Maskierung. Maskierte 
Geheimschriften oder -sprachen heißen deshalb auch englisch Jargon Codes. 

Der älteste päpstliche Code im 14. Jahrhundert benutzte ,Ägypten 6 für Ghi- 
bellinen, ,Söhne Israels 6 für Guelfen. Ein französischer Code des 17. Jahrhun¬ 
derts benutzte ausschließlich Jargon: Jardin für Rom, La Roze für den Papst, 
Le prunier für den Cardinal de Retz, La fenestre für den Bruder des Königs, 
L’ecurie (,Ritterschaft 6 ) für Deutschland, Le roussin für den Herzog von Bay¬ 
ern und so weiter. 4 

Steganographisch besonders interessant sind die Sprachen der kriminellen Zir¬ 
kel. Der französische Argot bietet genügend Beispiele. In die Umgangsspra¬ 
che eingedrungen sind rossignol (Nachtigall) für Nachschlüssel (,Dietrich 6 ), 
nachgewiesen seit 1406; mouche (Fliege) für Spion (,Spitzel 6 ), bekannt seit 
1389. Häufig benutzt man sprachlichen Anklang: rebecca für rebellion , limace 
(Nacktschnecke) für Urne (Feile) welch letzteres Fourbesque ist für Hemd; 
marquise für marque (Mal, Narbe) was Alemania ist für Mädchen; oder 
frise (Lockiger) für fritz (populär für Deutscher). Nicht so unverfänglich 
sind die Metaphern: chäteau (Schloß) für höpital , mitraille (Kugel) für 
petite monnaie (Kleingeld), oder gar die berüchtigten Metaphern marmite 
(Kochtopf) für die erste Frau des Zuhälters, sac ä charbon für den Priester. 
Auch sarkastische Metaphern wie mouthpiece für Rechtsanwalt kommen vor. 

Wahrhaft international sind ,Loch 6 — trou für Gefängnis, ,Schnee 6 — neige 
snow für Kokain, dito sucre sugar ; ,heiß 6 hot für kürzlich gestoh¬ 
lene Ware, ,abstauben 6 nettoyer für stehlen, ,Kies 6 galette (frz. galet , 
der Kieselstein) — rock für Geld. Alle Arten von Wortspielen und Kalau¬ 
ern gehören prinzipiell hierher. Das britische 6 Twenty Committee’ aus dem 


4 Auch bei einer bonapartistischen Verschwörung 1831 wurde noch eine simple Maskierung 
zeitgeschichtlicher Namen verwendet. 
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POL Y GRAPHIAE 

LIBRI SEX, IOANNIS TRITHEMII AB 
BATIS PEAPOEITANI, Q.VONDAM 
SPANHEIMEN SIS, AD MAXI/ 
MIUANVM CAESAREM. 



£umgratmetpnmlegio C 



Abb. 10. Titelseite (Holzschnitt) des ersten gedruckten Werkes über Kryptographie (1518) 


2. Weltkrieg, das auf Doppelagenten spezialisiert war, war nach der römisch 
geschriebenen Zahl XX benannt, wobei XX für ‘Double Cross’ steht. 

Gut maskierte Geheimschriften für einigermaßen universellen Gebrauch sind 
schwierig zu entwickeln und noch schwieriger richtig zu gebrauchen — der 
geübte Zensor merkt leicht das ,Gestelzte 6 fabrizierter Sprache. 

Trithemius gab in seiner Polygraphme von 1508 gedruckt nach seinem 
Tode (1518) (Abb. 10) — eine Sammlung lateinischer Wörter als Codewörter 
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für Einzelbuchstaben (Abb. 11), den Ave Marin Code. So konnte “a bbe” als 
“DEUS CLEMENTISSIMUS CREATOR MAGNUS” maskiert werden. Vielleicht 
würden heutige Zensoren nicht mehr so viel Latein können, um damit fertig 
zu werden. 


A Deus 

B Creator 
C Conditor 
D Opifex 
E Dominus 
E Dominator 
G Confolator 
H Arbiter 


A clemcns 
B clementifsimus 
C pius 
D pijfsimus 
E magnus 
F excelfus 
G maximus 
H optimus 


Abb. 11. Anfang von Trithemius 7 Ave Maria Code 


Eine beliebte Sicherheitsmaßnahme der Zensoren ist es, Nachrichten seman¬ 
tisch korrekt umzuformulieren. Im 1. Weltkrieg änderte ein Zensor eine Depe¬ 
sche “ Father is dead ” in “ Father is deceased v . Zurück kam über die Leitung 
die Nachricht “Is father dead or deceased ? ” . 

Auch allegorische Sprache hilft nur wenig. In der Diplomatie Ludwigs XV. 
gab man 1755 dem Chevalier Douglas für eine geheime Mission nach Rußland 
ein allegorisches Arsenal aus der Pelzhändlerbranche mit: ^Le renard noir 
etait cher^> „der Einfluß der englischen Partei steigt“; ^ L’hermine etait en 
vogue^> „der Einfluß der russischen Partei steigt“; ^Le loup-cervier avait son 
prix^> „die österreichische Partei (unter Bestuscheff ) behielt ihren überwie¬ 
genden Einfluß“. Der preussenfreundliche Bestuscheff war ^Le loup-cervier » 
und <^Un peau de petit-gris » waren 3 000 Söldner in englischen Diensten. 

Hoffentlich war der Chevalier Douglas in der Verwendung seines allegori¬ 
schen Codes geschickter als die deutschen Spione, die im 1. Weltkrieg in 
der Rolle holländischer Kaufleute Zigarren in Größenordnungen von 10 000 
Stück an einem Tag aus Portsmouth, am nächsten Tag eine große Menge aus 
Plymouth und aus Devonport, später 5 000 Stück aus Newcastle und so weiter 
bestellten — 1 000 Coronas bedeuteten einen Kreuzer. Ihr unzureichendes 
System brachte ihrem Leben am 30. Juli 1915 ein vorzeitiges Ende. 

Besser erging es Velvalee Dickinson , einer japanophilen Dame in New York 
City, die 1944 einen regen Postverkehr über zerbrochene und reparatur¬ 
bedürftige Puppen unterhielt. Sie wurde entdeckt, als ein unter falschem 
Absender gesandter Brief an eine Adresse in Portland, Oregon, zurückkam. 
Die Dame unterhielt tatsächlich einen exquisiten Puppenladen in New Yorks 
Madison Avenue. Technical Operations Division (die U.S. Zensurbehörde) 
und das FBI überführten sie, aber sie kam mit 10 Jahren Gefängnis und 
$ 10 000 Strafe davon. 
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Und in dem Audrey-Hepburn-Film “Breakfast at Tiffany’s” wandert Miss 
Holly Golightly für eine Nacht hinter Gitter, weil sie einem Gangster hilft, 
mittels ,Wetternachrichten‘ seinen Kokainhandel vom Gefängnis aus zu be¬ 
treiben — ihr fiel lediglich auf, daß u snow in New Orleans” recht unwahr¬ 
scheinlich klang. 


Tag 


Ort und Art der 
Unterkunft 


Darstellung der Ereignisse 

(Dabei wichtig: Beurteilung der Lage (Feind- und eigene], Eingangs- und Abgangs¬ 
zeiten von Meldungen und Befehlen) 


5.6.44 


Aid 1., 2, und 3.6,44 ist durch die Fast innerhalb der 
«Messages personellea M der französischen Seni ung en des 
britischen Rundfunks folgende .Meldung abgehört ..worden..* 
"Las aanglots longa dee violons de l’autömme ", 


Naqh vorhandenen Unterlagen soll dieser Spruch am 1_ oder.. 
15. eine8 Monats d urch gegeben werden, nur die erste H älfte 
eines ganzen Spruches d arste llen und a nlrtipri-igA n, _ 

M.0Jien_4ß_ Stunden, nach Durchgabe-der zw eiten Hälfte de* — 

Spruches. gereLChnet von 00.00 Uhr des auf die Durchsage_ 

folgenden Tages ab, die anglo-amerikanische Invasion be¬ 


ginnt.. 


21,1 5 Uhr 


gl.20 Uhr 


Zweit e Hä lfte .des .Spruches 11 Blee Seht , mon coeur d* vm« longeui 
monotone’ 1 wird- durch Fast attgehört. __ 

.Spruch.jm_Ic^AO_durchgegeben t ._.Danach mit Invasionabeginn 
ab 6.6. 00.00 Uhr innerhalb 48 8tUüden zu rechnen. 


22,00 Uhr 
22.15 Uhr 


Überprüfung der Meldung durch Rückfrage beim Mil.itftrb.e~ _ 

fehlehaber^Belgiejc/Nordfrankreich in Brüssel- ( .Major-von-— 
Wange nheim )._ __ ___ 

M el dung an 0. B_. und Che f_d_e_«.. Ge ne ral stab es._„ 


Weitergabe gemäss Fernschreiben ( Anlage 1 ) an General-_ 


kommandqe._Mündliche. Weitergabe._an_.16, klak-Divieion^ 


Abb. 12. Ausschnitt aus einem Tagebuch der Funkaufklärung der 15. Armee 
(Oberstleutnant Meyer, Feldwebel Reichling). 
cLutomme ist als a utomne zu lesen, longeur als langueur. 


1.4 Stichwörter 

Der wichtigste Spezialfall einer Maskierung betrifft die Verwendung eines 
Stichwortes (frz. mot convenu , engl, cue ) oder eines Satzes, Verses mit ei¬ 
ner einzigen, vorherbestimmten Bedeutung. Die Wichtigkeit der Nachricht 
ist hier an den Zeitpunkt der Aussendung gebunden, die Nachricht ist ein 
Alarm oder eine Quittung. Eine große Anzahl von Nachrichten wurde 
durch die BBC an die resistance in Westeuropa ausgesandt. Damit fielen 
auch einige maskierte Nachrichten, die an verborgener Wichtigkeit die an¬ 
deren um Größenordnungen überragten, nicht sonderlich auf, so etwa am 
1. Juni 1944 in den 21-Uhr-Nachrichten von BBC einige personal messages, 
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darunter von der ersten Strophe des Gedichts Chanson d’Automne von Ver¬ 
laine (wörtlich: „Die langen Schluchzer der Violinen des Herbstes verwun¬ 
den mein Herz mit eintönigem Schmachten“) die erste Hälfte. Am 5. Juni 
1944 kam die zweite Hälfte. Canaris’ Abwehr hatte schon im Januar 1944 
die Kommandeure der Westfront über den Jargon code und seine Bedeu¬ 
tung informiert (Abb. 12). Als die 15. Armee das erwartete Stichwort auf¬ 
fing, wurden alle deutschen Kommandostellen alarmiert — aus bis heute un¬ 
erklärlichen Gründen erreichte der Alarm jedoch die deutsche 7. Armee, in 
deren Küstenbereich die Invasion am 6. Juni 1944 stattfand, nicht. 

Auch die Japaner hatten das System 1941 benutzt. Zum Beispiel sollte 
HIGASHI NO KAZE AME („Ostwind, Regen“), in den Wetterbericht der 
Uberseenachrichten eingeschoben und zweimal wiederholt, ,Krieg mit U.S.AJ 
ankündigen. Die U.S. Navy fing am 19. November einen diesbezüglichen di¬ 
plomatischen Funkspruch ab und konnte ihn bis zum 28. November 1941 
entziffern. Als die Spannung wuchs, überwachten zahlreiche Funkaufklä¬ 
rungsstationen der U.S.A. den japanischen Radioverkehr auf das Stichwort 
hin. Es kam am 7. Dezember 1941 Stunden nach dem Angriff auf Pearl 
Harbour - in der Form NISHI NO KAZE HARE („Westwind, klar“), und 
kündigte, was niemand mehr überraschte, den Ausbruch der Feindseligkeiten 
mit Großbritannien an. Vielleicht handelte es sich um einen ,Doppelpflanz 6 
der Japaner. 

Bei professioneller Verwendung stehen die maskierten Geheimschriften den 
chiffrierten nahe (s. 2.2); sie zeigen eine Verwandtschaft zu Codierungen (4.4). 

1.5 Verschleierung: Würfel 

Von anderer Natur als die maskierten Geheimschriften sind die als offene 
Nachricht verschleierten Geheimschriften (engl, concealment cipher ). Hier 
ist die zu übermittelnde Nachricht eingebettet in die zu übermittelnde, un¬ 
verfängliche offene Nachricht, was durch Hinzufügen von Blendern, Nieten, 
Füllzeichen, Nullen (frz. nonvaleurs , engl, nulls , dummies ) erreicht wird. 

Um die eigentliche Nachricht wiederzufinden, muß der Platz, an dem sie steht, 
verabredet sein. Dazu bieten sich zwei Möglichkeiten für garbage-in-between 
an: Regeln anzugeben (, Würfel 6 , engl, null cipher, open-letter cipher ) oder 
Raster (frz. grille , engl, grille) zu verwenden. 

Regeln für verschleierte Geheimschriften sind häufig von der Art „das x-te 
Zeichen nach einem bestimmten Zeichen“, z.B. „das erste Zeichen nach Zwi¬ 
schenraum“ (engl, family code , im 2. Weltkrieg von Soldaten gern gebraucht, 
zum großen Mißvergnügen des Zensors), besser schon „das dritte Zeichen 
nach Zwischenraum“ oder „das dritte Zeichen nach Interpunktionszeichen“. 
Solche verschleierte Geheimschriften nennt man engl, acrostics. Ein geübter 
Zensor erkennt diese Tarnung meist sogleich an der ,gestelzten 6 Sprache, und 
sein scharfes Auge erfaßt sicher, was sich hinter 
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PRESIDENT^ EMBARGO RULING SHOULD HAVE 
IMMEDIATE NOTICE. GRAVE SITUATION ÄFFECTING 
INTERNATIONAL LAW. STATEMENT FORESHADOWS 
RUIN ÖF MANY NEUTRALS. YELLOW JOURNALS 
ÜNIFYING NATIONAL EXCITEMENT IMMENSELY 

verbirgt — eine im 1. Weltkrieg abgefangene Nachricht. Wenn nötig, hilft es, 
eine Nachricht wortweise auszurichten: 

I 

I N S P E C T 
DETAILS 
F OR 

T RI GL E TH 

ACKNOWLEDGE 

THE 

BONDS 

F RO M 

F E WE L L 

Die Tarnung fällt dann ab, der ,Klartext‘ springt ins Auge. 

Seine gute Vorstellungskraft rettete Sir John Trevanion , der zu Oliver Crom- 
wells Zeiten lebte, das Leben: Er fand im Brief seines Freundes R.T. die 
Botschaft u Panel at east end of chapel slides” (Abb. 13) und fand auch die 
Tür. 


Worthie Sir John:— Hope, thät is ye beste comfort of ye afflicted, caiinot 
much, I fear me , help you now. Thät I would saye to you, is this only: if 
ever I may be able to requite that I do owe you, stand not upon asking 
me. ’Tis not much that I can do: but what I can do, bee ye verie sure 
I wille. I kiiowe that, if dethe comes, if ördinary men fear it, it frights 
not you, accounting it for a high honour, to have such a rewarde of your 
loyalty. Präy yet that you may be spared this soe bitter, cup. I fear not 
that you will grudge any sufferings; only if bie Submission you can turn 
them away, ’tis the part of a wise man. Teil me, an if you can, to do 
for you anythinge that you wolde have done. The general goes back on 
Wednesday. Restinge your servant to command. — R. T. 

Abb. 13. Nachricht an Sir John Trevanion: Panel at ea st end of chapel 
slides (dritter Buchstabe nach Interpunktionszeichen) 


Es wird von einem Soldaten Eisenhowers berichtet, der 1942 seinen Eltern den 
Ort, in dem er sich aufhielt, durch den jeweils ersten Buchstaben (nach der 
Anrede) in seinen Briefen mitteilen wollte — kryptographisch und stegano- 
graphisch zunächst kein schlechter Einfall. Die Sache kam trotzdem heraus, 
als die Eltern schrieben: „Wo ist Nutsi — wir finden es in unserem Atlas 
nicht?“ Der Ärmste hatte vergessen, seine Briefe mit dem Datum zu versehen. 
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Als Akrostichon hat diese Technik sogar in die schöngeistige Literatur Ein¬ 
gang gefunden. Beim klassischen Akrostichon waren die Anfangsbuchsta¬ 
ben, -silben oder -Wörter aufeinanderfolgender Verse, Strophen, Abschnitte 
oder Kapitel von Bedeutung. Man chiffrierte so Wörter, Namen oder Sätze 
(Abb. 14), häufig mit Bezug auf den Autor. Das Akrostichon diente auch 
als Schutz gegen Auslassungen und Einfügungen; ein früher Fall einer fehler¬ 
sichernden Codierung. Ähnlich wird beim Chronogramm in einer Inschrift 
eine (römisch geschriebene) Zahl verborgen, meist eine Jahreszahl, zum Bei¬ 
spiel der Anbringung der Inschrift: 

In der Kirche des ehemaligen Zisterzienser-Klosters Fürstenfeld an der Am¬ 
per wurde 1766 eine Statue des Stifters Ludwig der Strenge (1229-1294) 
aufgestellt, darunter findet sich auf einer Tafel das Chronogramm 

LVDoVICVs seVerVs DVX baVarVs aC paLatlnVs, 
hIC In sanCta paCe qVIesCIt. 

(Ludwig der Strenge, Herzog von Baiern und der Pfalz, ruht hier in heiligem Frieden.) 

Besteht das Chronogramm aus einem Vers oder aus zwei Versen, heißt es 

Chronostichon oder Chronodistichon. 


_ Literatur _ 

Schnellschreibmethode 

Er soll, so berichtet Robert K. Merton, bei all dem, was er 
schrieb, eine besondere Technik entwickelt haben, die so 
einfach gewesen sein muß, daß es seine Kollegen und Neider 
das Staunen lehrte, weil bereits wenige Wochen nachdem seine 
erste Abhandlung veröffentlicht war, die nächste folgte, kein 
Wort und keine Seite dünner und von ebensolcher Prägnanz, daß 
jeder andere Monate, wenn nicht Jahre dazu gebraucht hätte, um 
Zeile für Zeile zu füllen. Sein Geheimnis soll Thomas Füller 
auf Drängen seiner Freunde aber in kleinster abendlicher Runde 
ein oder zwei Tage vor seinem Tod zugegeben haben auf einem 
Blatt, auf dem er in einer bestimmten Weise Worte anordnete 
und das er ihnen vorlegte mit der süffisanten Bemerkung, er 
füllte ihnen lieber noch einmal ihre Gläser vor der Lösung, 
hernach würde ihnen keine Ruhe mehr bleiben, bis auch sie 
den Versuch selbst unternommen hätten, die Methode, die im 
übrigen in der Poesie schon seit langem einen breiten 
Raum einnehme, auch auf ihre Wissenschaft anzuwenden, um so 
aus schönen Worten exakte Aussagen entstehen zu lassen. 

UUOCER FISCHER 

Abb. 14. Akrostichon aus SZ Magazin, 28.3.1991 


Komponisten haben Nachrichten verborgen in den Noten, entweder (Bei¬ 
spiel BACH) direkt hinter den Tonbezeichnungen einer melodischen Floskel 
oder mit Hilfe eines Zahlenalphabets: Kommt der z-te Ton der Tonleiter k 
mal vor, ist an Tter Stelle der k -te Buchstabe des Alphabets hinzuschreiben. 
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J. S. Bach bediente sich auch gern dieser Chiffre; so kommt im Orgelchoral 
,Vor deinen Thron‘, 1750, in der viertaktigen Melodiefloskel, die in G-Dur 
steht, g zweimal (B), a einmal (A), h dreimal (C) und c achtmal (H) vor. 


Blender werden auch in manchen Jargons verwendet: Bloßes Anhängen einer 
Silbe als Blender (parasitäre Suffixation) ist das einfachste und älteste 
System, im Französischen 


FLOUTIERE 

GIROLLE 

MEZIS 

ICICAILLE 


für flou , Argot für ,weg!‘ 
für gis , Argot für ,ja c 
für me , 
für ici 


mit hunderten ähnlicher Bildungen. Schon bei Cartouche (18. Jh.) findet 
sich Vousierge trouvaille bonorgue ce gigotmouche. 


Tut Latin, eine Schülersprache im Englischen, setzt TUT zwischen alle Sil¬ 
ben. Solche Schülerjargons scheinen sehr alt zu sein, schon 1670 wird aus 
Metz (Lothringen) von einem ,Stotterer-System c berichtet, wo etwa 
undreque foudreque für un fou steht. Hierher gehört auch das Javanais: 


LAYEBLAYANC 

NAYON 

JAYE 

chayaussayuraye 


steht für le blanc 
steht für non 

steht für je (Argot für ,ja‘) 
steht für chaussure . 


Andere Systeme verwenden Blender mit Vokal Wiederholung, etwa im Deut¬ 
schen die B-Sprache: 

GABARTEBENLAUBAUBEBE steht für gartenlaube 

und im Französischen das Cadogan: 

CADGADODGQGADGAN steht für cadogan. 

Joachim Ringelnatz [Hans Bötticher] verfaßte ein Gedicht in der Bi-Sprache 
(Abb.15). 


Gedieht in Bi-Sprache 

Ibich habibebi dibich, 
Lobittcbi, sobi liebib. 
Habist aubich dubi mibich 
Liebib? Neibin, vebirgibib. 

Nabih obidebir febirn, 
Gobitt seibi dibir gubit. 
Mcibin Hcbirz habit gebirn 
Abin dibir gebirubiht. 


Abb. 15. Gedicht in Bi-Sprache von Joachim Ringelnatz 
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Kompliziertere Systeme arbeiten zusätzlich mit einer Buchstabenumstellung 5 
(Transposition, s. 6.1). Aus dem Milieu stammt das Largonji: 


LEUDE 

für 

deux francs 

LINVE 

für 

vingt sous 

LARAQUE 

für 

quarante sous 

mit den phonetischen 

Abarten 


LINSPRE 

für 

prince (Vidocq 1837) 

LORCEFEE 

für La Force , ein Pariser Gefängnis 

und das Largonjem: 

LONBEM 

für 

bon (1821) 

LOUCHERBEM 

für 

boucher 

OLRAPEM 

für 

opera (1883) . 


Das Wort Largonji ist auf diese Weise aus Jargon gebildet. Eine Variante 
mit Unterdrückung des Anfangskonsonanten zeigt das Largondu: 


LAVEDU 

für cave 

LOQUEDU 

für toque 

LIGODU 

für gigo(t) . 

Anderen, ähnlichen Bildungsgesetzen folgen 

LOCROMUCHE 

für maquerau 

LEAUBICHE 

für beau 

NEBDUTAC 

für tabac (1866) 

LICELARGU 

für cigare (1915) 


Diese Systeme haben Parallelen in Ostasien. 


Pig Latin, eine andere Schülersprache, setzt AY ans Ende eines zyklisch 
permutierten Wortes: third wird IRDTHAY. Cockneys haben eine Reimspra¬ 
che mit Blendern: TWIST AND TWIRL für girl , JAR OF JAM für tram , 
STORM AND STRIFE für wife , BOWL OF CHALK für talk , FLEAS AND 
ANTS für pants , APPLES AND PEARS für stairs , BULL AND COW für 
row, CAIN AND ABEL für table , FRANCE AND SPAIN für rain , PLATES 
OF MEAT für feet , LOAF OF BREAD für head . Das eigentliche Reimwort 
wird dabei häußg auch weggelassen — der Eingeweihte denkt es sich, und 
LOAF oder PLATES beispielsweise wurden so zu umgangssprachlichen Aus¬ 
drücken, deren Herkunft den meisten heute unbekannt ist (Lexikalisierung). 
Wenig Mühe gab sich Jonathan Swift (1667-1745) in seinem Journal to Stella , 
die in Wirklichkeit Esther Johnson (1681-1728) war: In einem kompromit¬ 
tierenden Brief vom 24. Febr. 1711 bestand seine Vorsicht lediglich darin, daß 
jedes zweite Zeichen ein Blender war. 

5 Reines Rückwärtslesen (,K re b s ‘) kommt im Cant ebenfalls vor: OCCABOT für tobacco ; 
KOOL für look ; YOB („Lümmel“) für boy ; SLOP für police. Reine Silbenum¬ 
stellung gibt es im Vertan (von l’envers ): NIBERQUE für bernique (,nichts da‘, ,weit 
gefehlt^ von frz. berniches, kleine Muscheln; LONTOU für Toulon; LIBRECA für 
calibre, Schießeisen; DREAUPER („Polizist“) für perdreau, Rebhuhn; RIPOU für 
pourri, verfault; BEUR für rebeu (arabisch). 
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1.6 Verschleierung: Raster 


Die auf Geronimo Cardano (in De Subtilitate, 1550 ) zurückgehende Methode, 
Raster (frz. grille , engl, grille ) zu verwenden, ist simpel, aber unbequem. 
Sie hat auch den Nachteil, daß beide Seiten den Raster besitzen und bewahren 
müssen — bei einem Soldaten oder Gefangenen keine Selbstverständlichkeit. 
Hätte Lord Byron (1788-1824), der allerdings kein gewöhnlicher Soldat war, 
diese Methode benutzt, so wären ihm seine poetischen Fähigkeiten sehr zu¬ 
statten gekommen, um ein Gedicht abzufassen wie das von Abb. 16; vermut¬ 
lich besaß er auch das Talent, das ganze so hübsch zu schreiben, daß der 
Klartext zwanglos in die Rasterfenster paßte. 


And there was mounting in hot haste the steed, 
The mustering squadron and the clattering car, 
And swiftly forming in the ranks of war; 

And deep the thunder peal on peal afar; 

And near, the beat of the alarming drum 
Roused up the soldier ere the morning star 
While thronged the citizens with terror dumb 
Or whispering, with white Ups, — ‘the 
foe! they come, they comei' 


\mustering squadron 


\forming\ \ranks\ \wai{ 


|near| 


Abb. 16. Lord Byrons hypothetische Nachricht 


Cardano forderte übrigens, die so gewonnene Nachricht dreimal abzuschrei¬ 
ben, um jede Schreibunregelmäßigkeit zu verwischen. Die Methode wurde 
im 16. und 17. Jahrhundert im diplomatischen Verkehr gelegentlich benutzt. 
Kardinal Richelieu soll sich ihrer bedient haben. 

Auch raffiniertere Regeln werden in der modernen Literatur erwähnt, etwa 
die Übermittlung von Dualzahlen (ihrerseits vermutlich gebraucht als Chif¬ 
frierung), wobei die Ziffer O durch ein Wort mit gerader Vokalanzahl, die 
Ziffer L durch ein Wort mit ungerader Vokalanzahl ausgedrückt wird. 
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Bei professioneller Verwendung stehen die verschleierten (unersichtlich ge¬ 
tarnten) Geheimschriften meistens ebenfalls den chiffrierten Geheimschriften 
nahe (s. 2.2); sie zeigen eine gewisse Verwandtschaft insbesondere in der Ver¬ 
wendung von Blendern (s. 2.3.1) und der Transposition (s. 6.1). 

1.7 Klassifizierung der kryptographischen Methoden 

Eine graphische Übersicht über die in diesem Kapitel gewonnene Klassifizie¬ 
rung der kryptologischen Methoden zeigt Abb. 17. 

Wir haben Maskierung und Verschleierung so ausführlich behandelt, weil sie 
uns methodisch leiten können: die Maskierung zur Substitution, die Ver¬ 
schleierung zur Transposition, damit zu den beiden Grundelementen der 
Kryptographie, die wir im nächsten Kapitel einführen werden. 

Außerdem lehrt uns die Steganographie bereits eine Maxime: Sprache hat Ei- 
gengesetzlichkeit, und schwerer noch als es ist, diese (in der Kryptographie) zu 
unterdrücken, ist es, sie zu imitieren, wie es in der Steganographie geschieht. 
Die linguistische Steganographie wird deshalb von reinen Kryptographen mit 
vorsichtiger Distanz behandelt; sie abzuwehren, ist Sache der Zensur. Ihrem 
Wesen nach ist ihr Gebrauch durch Amateure bereits unschädlich gemacht, 
wenn er unterbunden oder aufgedeckt wird; eine tatsächliche Entzifferung 
ist dann für die Zensurbehörde oft unwichtig (abgesehen vom Erbringen des 
Schuldbeweises in einem anschließenden Gerichtsverfahren). 

Der professionelle Gebrauch linguistischer Steganographie kann nur in Einzel¬ 
fällen geboten sein — es sei denn, es handle sich um eine Überdeckung eines 
vorangehenden echt kryptographischen Verfahrens. 

Steganographie und die eigentliche Kryptographie fallen unter den allgemei¬ 
nen Begriff der Kryptologie. Der lateinische Ausdruck cryptologia wurde, wie 
auch der Ausdruck cryptographia , erstmals 1641 von dem englischen Bischof 
John Wilkins benutzt, mit der Bedeutung Ge¬ 
heimsprache. 1645 wurde von James Howell der 
engliche Ausdruck cryptology geprägt; er schrieb 
“ cryptology, or epistolizing in a clandestine way, 
is very ancient.” Der Gebrauch der Wörter cryp- 
tography , cryptographie, crittografia , Kryptogra¬ 
phie hat bis unlängst auch dann das Feld be¬ 
herrscht, wenn die Kryptanalysis eingeschlossen 
war. Claude Shannon nannte noch 1945 seinen 
vertraulichen Bericht über die Sicherheit gegen 
unbefugte Entzifferung A Mathematical Theory 
of Cryptography. Als Buchtitel wurde crypto- 
logue von dem Schweden Yves Gylden 1932 ver- 
wendet und cryptologist von William F. Fried- Claude Shannon (* 1916) 
man 1961; in moderner Zeit taucht cryptology 
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1963 auf im Titel eines Artikels von David Kahn ; es wurde intern u. a. von 
William F. Friedman und Lambros D. Callimahos schon in the 50er Jahren 
benutzt. Mit Kahns The Codebreakers von 1967 wurde der Terminus ‘crypto- 
logy’ fest etabliert mit der Bedeutung, sowohl ‘cryptography’ als auch C cryp- 
tanalysis’ zu umfassen; er ist heute allgemein akzeptiert. 


Kryptologie 

(Geheimschriften) 


I (2-2) 

Steganographie eigentliche Kryptologie 

(gedeckte Geheimschriften) (offene Geheimschriften) 


Technische 

Steganographie 

(unsichtbare 

Geheimschriften) 


Linguistische 

Steganographie 

(getarnte 

Geheimschriften) 


( 1 . 2 ) | 

Semagramme open code 

(sichtlich getarnte (unersichtlich getarnte 

Geheimschriften) Geheimschriften) 


(1.3) | 

jargon code concealment cipher 

(maskierte (verschleierte 

Geheimschriften) Geheimschriften) 


(1.4) (1.5) (1.6) 

Stichwort Würfel Raster 

( cue ) (null cipher ) ( grille ) 


Abb. 17. Klassifizierung der kryptologischen Methoden 



2 Aufgabe und Methode 
der Kryptographie 


“Nearly every inventor of a cipher System 
has been convinced of the unsolvability 
of his brainchild. ” 
Kahn 

Der nachfolgend zu gebende Überblick über die bekannten kryptographischen 
Verfahren ist auf den Gesichtspunkt der Sicherung 1 von etablierten Nachrich¬ 
tenwegen gegen (passives) unbefugtes Lauschen und Mitlesen (Brechen) so¬ 
wie gegen (aktive) Fälschung abgestellt (ISO 7498). Die Geheimhaltung 
(engl, secrecy ) zum Zwecke der Vertraulichkeit (engl, conhdentiality) und 
der persönlichen Abgeschiedenheit (engl, privacy) ist das klassische Ziel. Die 
Sicherung gegen Fälschung und Unterschiebung, die Authentisierung (engl. 
authentication) ist erst neuerdings zu größerer Bedeutung gelangt. 

Neben mathematischen spielen für die Kryptologie auch philologische Fragen 
eine große Rolle. Hierin besteht eine Verwandtschaft mit dem Gebiet der 
Entzifferung verschollener Schriften und Sprachen 2 (Farbtafel A), ei¬ 
nem reizvollen Grenzgebiet der Archäologie und der Sprachwissenschaft. 

2.1 Charakter der Kryptographie 

Die klassische Aufgabe der Kryptographie ist es, eine Nachricht oder Auf¬ 
zeichnung für den Unbefugten unverständlich zu machen. Eine solche Absicht 
kann leicht übertrieben werden das macht die Nachricht dann auch für 
den berufenen Empfänger unleserlich. Wem ist es nicht schon passiert, daß 
er eine eilig niedergeschriebene Notiz nach Wochen oder schon nach Tagen 
nicht mehr lesen konnte. 

Es ist fatal, wenn ein Fehler in der Chiffrierung gemacht wird oder auch, 
wenn — hauptsächlich im Funkverkehr durch atmosphärische Störungen 
die Nachricht verstümmelt (engl, garbled ) oder sinnentstellt (engl, cor- 
rupted) wird. Der dann naheliegende Versuch, die gleiche Nachricht noch 

1 Bloßen Störungen des Nachrichtenweges durch physikalisch-technische Effekte wird seit 
den Entdeckungen von Shannon und Hamming um 1950 durch fehleranzeigende und 
-korrigierende Codierungen begegnet, die hier nicht behandelt zu werden brauchen. 

2 J. Friedrich , Entzifferung verschollener Schriften und Sprachen, Springer, Berlin 1954. 
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einmal und diesmal richtig zu chiffrieren und zu übertragen, ist ein 
schweres Sicherheitsrisiko (11. Kapitel, Chiffrierfehler). Dazu W.Kozaczuk: 
“The Germans ... employed ... precautions. It was forbidden to transmit the 
same message a second time after an error had been made; the text had to be 
reedited, without altering the content, of course.” Der Weg zum Untergang 
der Wehrmacht war auch mit manchen guten Absichten gepflastert. 

2.1.1 Ohnehin darf das Chiffrier- und Dechiffrierverfahren nicht zu kom¬ 
pliziert sein: Es muß dem jeweiligen Personenkreis, was dessen Intelligenz 
und Lebensumstände anbelangt, angemessen sein. Am geringsten sind die 
Ansprüche hier auf militärischem Gebiet im taktischen Fronteinsatz. Dann 
kommt sofort das Feld der Diplomatie, jedenfalls wenn man darauf besteht, 
daß der Botschafter selbst die Ver- und Entzifferung vornimmt. Als Wheat- 
stone 1854 dem Unterstaatssekretär des britischen Foreign Office das heute 
als PLAYFAIR bekannte Verfahren demonstrierte (s. 4.2) und dabei sagte, 
das könnten drei von vier Knaben der nächstgelegenen Volksschule erlernen, 
bemerkte dieser trocken u that is very possible, but you could never teach it 
to attaches ”! 

Auch ist zu bedenken, daß manche Nachricht nicht länger geheimgehalten 
werden muß, bis das mitgeteilte, beabsichtigte oder stattgefundene Ereignis 
ohnehin offenkundig geworden ist. Diplomatische Nachrichten geheimzuhal¬ 
ten, kann allerdings noch nach Jahrzehnten geboten sein. Unübertrefflich in 
dieser Hinsicht und hinsichtlich des Schleiers, den sie über ihr Chiffrierwe¬ 
sen legen, sind die Briten, von den Russen ganz zu schweigen. Jedenfalls 
kommt es nur darauf an, zu wissen, wie lange der unbefugte Entzifferer 
(engl, unauthorized decipherer ) mindestens zu tun hat, um die Nachricht 
herauszulesen — die Chiffre zu „brechen“ — und es ist dann nicht nötig zu 
behaupten, ein gewisses Verfahren sei absolut sicher. Ein von den Deutschen 
1917 an der Westfront verwendeter Code (von den Franzosen KRUSA ge¬ 
nannt, weil alle Codegruppen mit einem dieser fünf Buchstaben begannen) 
war solcherart auf ,geplante Veralterung^ angelegt die Franzosen hatten 
allerdings meist nach vierzehn, manchmal nach zwei Tagen den Code, der 
alle Monate wechselte, herausgefunden. 

Die quantitative Bewertung der Sicherheit der Verfahren wurde jedoch erst 
durch die bahnbrechenden Ideen von Claude E. Shannon (s. Anhang Perfekte 
Sicherheit und praktische Sicherheit ) möglich. Wie wenig tief das Wissen um 
die Brauchbarkeit der Methoden noch im 1. Weltkrieg ging, zeigte sich darin, 
daß 1914 der deutsche Generalstab, als Le Matin publizierte, daß Frankreich 
,mitlesen‘ würde, sein Chiffrierverfahren am 18. November radikal änderte. 
Der Übergang von sog. doppelter Spaltentransposition (s. 6.2.4) zu einem 
VIGENERE mit Schlüssel ABC (s. 8.1.2) und nachfolgender Spaltentrans¬ 
position war eine complication illusoire für das französische Dechiffrierbüro. 
Ganz sicher glaubten sich ihrer Sache auch die Liebespaare zu sein, die im 
London von 1850 in chiffrierten Zeitungsannoncen ihre Gefühle austauschten; 
eine gewisse Londoner Gesellschaft machte sich jedoch ein Vergnügen daraus, 
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,mitzulesen‘, darunter (s. 2.4.1) Babbage sowie Wheatstone und Playfair , die 
in einen solchen Liebes-Brief-Wechsel mit einer eigenen, geeignet chiffrierten 
Nachricht ,einbrachen‘ und die Reaktion u Dear Charlie: Write no more. Our 
cipher is discovered ” der jungen Dame her vor riefen. Übrigens, trotz — oder 
vielleicht aufgrund — Shannon’s verdienstvoller Aufklärung sollen noch heute 
in Londoner Tageszeitungen verschlüsselte Anzeigen zu finden sein. 


Eine andere Dame fand sich gar zutiefst beeindruckt 
von einem Mann, dem sie ein Rezept, Gold zu ma¬ 
chen, übergeben hatte, das chiffriert war und wozu 
sie allein den Schlüssel wußte — als er ihr nicht nur 
mitteilte, daß er es entziffert hatte, sondern ihr auch 
das Schlüsselwort nannte. Der Mann mußte he¬ 
xen können, mußte Gedanken lesen können, dach¬ 
te sie und schloß ihn folglich lieber gleich ganz in 
ihr Herz. Es war, 1757, die wohlhabende Madame 
d’Urfe, und der Kavalier, der sie übrigens bald ver¬ 
ließ, war — Giacomo Girolamo Casanova, Chevalier de Seingalt (1725-1798), 
dessen kryptanalytische Beflissenheit offenbar nicht so weithin bekannt ist wie 
seine sonstigen Vorzüge. 




Abb. 18. Verschlüsselungssystem 
der Reifenhersteller 


Reifen- Zeichen 

(1) tubeless bedeutet schlauchlos 

(2) 175 ist die Breite des Reifens in mm 

S steht für zulässige Höchstgeschwindigkeit 
(bis zu 180 km/h im Falle von Sommerreifen) 
R bedeutet Radialreifen (leer: Diagonalreifen) 
14 ist der Durchmesser der Felge in inches 

(3) TWI (tread wear indicator) weist auf den 
Profilabnutzungsanzeiger hin 

(sechs Querstege in den Profilrillen treten 
bei 1.6 mm Restprofil auf) 

(4, 5) europäische Reifenkennzeichnungen: 

88 codiert die maximale Last pro Rad 
S steht für Geschwindigkeit bis zu 180 km/h 

(6) Karkasse aus 2 Lagen Kunstseide 

(7) Gürtel aus 2 Lagen Stahl und Kunstseide 

(8) maximaler Luftdruck in Pfund/Quadratzoll 
(gilt nur für U.S.A. ) 

(9) maximale Last pro Rad in Pfund 
(gilt nur für U.S.A. ) 

(10) Hersteller 

(11, 12) Zertifikat der Bauartprüfung: 4 ist 
der Code für das Land in dem die Bauart¬ 
prüfung durchgeführt wurde (hier Holland). 

(13) Zertifikat des DOT (Department of Trans¬ 
portation, das US Verkehrsministerium) 

(14) Hersteller-Code: LM = Fabrik; J3 = Große; 
MEB = Typencode; 344 = Datumscode 
(34. Produktionswoche von 1974) 


Auch Marie Antoinette wußte Liebe und Kryptographie zu verbinden, ebenso 
der britische König Eduard VIII. So hat die Kryptographie neben diplomati¬ 
schen und militärischen auch ihre zivilen und privaten Anwendungen, ganz 
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zu schweigen von den kommerziellen, etwa der Kaufmanns-Chiffre zur Preis¬ 
auszeichnung und der (jetzt abgeschafften) verschlüsselten Angabe des Ab¬ 
packungsdatums der Butter (s. 3.1.1) oder dem Verschlüsselungssystem der 
Reifen-Hersteller (Abb. 18). Amüsante Geschichten gibt es auch über die 
angebliche Unbrechbarkeit einer Chiffrierung. Von der Überschätzung der 
eigenen Klugheit profitiert regelmäßig die Gegenseite. Ein Beispiel solcher 
Übertreibung ist es, wenn von Paul Schilling von Cannstatt , einem der Er¬ 
finder des elektromagnetischen Telegraphen (1832) gesagt wird, er „stellte 
für das russische Ministerium ein so geheimes Alphabet zusammen, die so¬ 
genannte Chiffre, daß sogar ein derart ausgeklügeltes Geheimkabinett wie 
das österreichische es in 50 Jahren nicht durchlesen wird“ (F. P. Fonton , nach 
A. V. Jarozkij). Und noch 1917 wurde in dem so angesehenen Scientific Ame¬ 
rican die VIGENERE-Methode (s. 7.4) als unbrechbar bezeichnet. 

Eine besondere Ironie des Schicksals wollte es, daß Etienne Bazeries , der große 
französische Kryptologe (1846-1931), der eine ganze Reihe von sogenannten 
unbrechbaren Chiffrierverfahren, die dem französischen Sicherheitsbüro vor¬ 
gelegt worden waren, niedergeschmettert hatte, schließlich selbst vermessen 
genug war zu glauben, er habe ein absolut sicheres Verfahren (c Je suis 
indechiffrable^ , Abb. 19) gefunden. Es bereitete seinem Gegenspieler, dem 
Marquis de Viaris — der erste moderne Kryptologe übrigens, der die Mathe¬ 
matik ins Spiel brachte — kein geringes Vergnügen, sich zu rächen und einige 
Chiffren, die Bazeries ihm sandte, zu brechen (s. 7.5.3, 14.3). 



Abb. 19. Bazeries ’ Zylinder mit der Nachricht ^je suis indechiffrable» 


2.1.2 Ein lukrativer Seitenast der Kryptographie ist die Erfindung und finan¬ 
zielle Auswertung von Chiffrier- und Dechiffriermaschinen. Bis zum 19. Jahr¬ 
hundert waren es mechanische Geräte, seit Beginn des Jahrhunderts setzte 
auch hier die Automatisierung, später die Elektronisierung und neuerdings 
die Mikrominiaturisierung ein. Ende 1939 betätigte sich auch der am West¬ 
wall stationierte Gefreite Konrad Zuse als Erfinder eines Chiffriergerätes, 
eines Zusatzgerätes zu einem Fernschreiber. Er konnte allerdings das Heeres¬ 
waffenamt für seine Erfindung, die eine Vernam-Chiffrierung (s. 8.3.2) ent¬ 
hielt, nicht gewinnen: Man gab ihm zu verstehen, „daß man bereits über gute 
Geräte dieser Art verfüge“. Dabei handelte es sich nicht, wie Zuse später 
fälschlich meinte, um die ENIGMA, sondern um SZ40 und T 52 (s. 9.1). 
Mikrorechner — von Größe, Gewicht und Preis eines Taschenrechners — kön¬ 
nen heute die Leistungen der besten Chiffriermaschinen des 2. Weltkriegs er- 
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bringen. Damit ist die frühere Bedeutung guter Verfahren, die durch das Vor¬ 
handensein ,riesengroßer 6 Rechner in den kryptanalytischen Zentralen stark 
abgewertet worden sind, nicht nur wiederhergestellt worden: Es kann mit ei¬ 
nem handelsüblichen Mikrorechner der $ 100-Klasse und erst recht mit einem 
PC ( Personal Computer ) auch eine weitaus komplexere Chiffrierung vorge¬ 
nommen werden, als es die klassischen Maschinen zustandebrachten. 

Im übrigen muß man bei der Beurteilung eines auf Unterlagen irgendwel¬ 
cher Art gestützten Verfahrens, also auch eines maschinellen Verfahrens, 
damit rechnen, daß diese Unterlagen in gegnerische Hände fallen können 
(Shannon’s Maxime, s. 11.2.3). Ein lediglich mit einer Diskette gefütterter 
Mikrorechner hat aber keinerlei „verräterische“ kryptographische Struktur 
außer vielleicht Alphabettastatur und Buchstabenanzeige. 

Bei den sogenannten öffentlichen Schlüsseln (engl, public keys) 7 die heute für 
kommerzielle Verbindungen propagiert werden, werden das Chiffrier- und das 
Dechiffrier verfahren sogar veröffentlicht, lediglich der Schlüssel zum Dechif¬ 
frieren bleibt geheim; Shannon’s Maxime wird also auf die Spitze getrieben 
(s. 10.1.2). Dabei führt der zunehmende Gebrauch offener Nachrichtenwege 
dazu, daß neben die klassische Geheimhaltung die Authentisierung als erklär¬ 
tes Ziel der Kryptographie tritt (s. 10.5, 10.6). 

2.1.3 Die Literatur bedient sich gelegentlich kryptologischer Techniken. 
Schwierige, dicht verwobene literarische Werke wie Zettels Traum von Arno 
Schmidt (1970) wollen „entziffert“ werden. 

Ein besonderes Problem stellen die angeblichen Geheimtexte dar. Balzac 
hat in La Physiologie du mariage (1829) eine Stelle La Bruyere a dit tres 
spirituellement: ‘C’est trop contre un mari que la devotion et la galanterie: 
une femme devrait opter.’ L’auteur pense que La Bruyere s’est trompe. En 
eff et: ~~~ Was danach kommt, ist ein Mischmasch durcheinandergepurzel¬ 
ter Buchstaben, so als ob ein Setzkasten ausgeschüttet worden wäre. In der 
Tat ünden sich in vier Auflagen darunter wenigstens drei zu Lebzeiten von 
Balzac — vier verschiedene solcher Texte. Balzac hat sich wohl einen Scherz 
geleistet. Nichtsdestotrotz untersuchte Bazeries ein solches Kryptogramm 
1901 gründlich und fand, daß es in kein bekanntes System paßte, daß es ^ une 
facetie de l’auteur » sei. 

Viel Aufregung gab es, seit Ignatius Donelly , amerikanischer Provinzpoliti¬ 
ker und einfallsreicher pseudowissenschaftlicher Kopf, der schon über Atlan¬ 
tis und den Zusammenstoß der Erde mit einem Meteor spekuliert hatte, sich 
1878 daran machte, in Shakespeare’s Werk steganographische Hinweise, daß 
Sir Francis Bacon der Autor sei, zu ünden. (Dieser Chimäre jagte auch Georg 
Cantor , der Erfinder der modernen Mengenlehre, längere Zeit nach.) Nun 
kann man aus einem genügend langen Text, wenn man nur genügend viele Zei¬ 
chen als belanglos erklärt (und vielleicht auch noch die verbleibenden Zeichen 
permutiert) alles herauslesen man nehme nur die hypothetische Nachricht 
Lord Byrons in 1.6. So gelangen auch Donelly einige scheinbare Erfolge. Eine 
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Flut von Amateuren schloß sich an. Das wäre alles nicht bemerkenswert, wäre 
nicht ein William Frederick Friedman , der Genetik studiert hatte, 1915 von 
einem reichen Textilhändler und Mäzen namens George Fabyan angeheuert 
worden, der neben einem biologischen, einem chemischen und einem akusti¬ 
schen Laboratorium auch Kryptologen beschäftigte, die nachweisen sollten, 
daß Bacon Shakespeare sei. Friedman 3 fand dort Interesse an Elizebeth 
Smith , einer jungen Kryptologin, und an der Kryptologie. Er verheiratete 
sich mit beiden und wurde der erfolgreichste amerikanische Kryptologe. 

2.1.4 Die amtlichen kryptologischen Dienste führen zeitgemäß im 20. Jahr¬ 
hundert geheimnisvoll klingende Namen. Meistens sind sie eingebettet in 
die allgemein mit der Beschaffung von Nachrichten und mit der Spionage- 
Abwehr außerhalb des eigenen Landes befaßten Geheimdienste. An der Spitze 
der Berühmtheit steht M.I.6, der (British) Secret Intelligence Service (S.I.S.) 
in Großbritannien, direkt dem Foreign Office unterstellt, daneben steht M.I.8, 
Signals Intelligence Service . In den U.S.A. gibt es seit 1947 C.I.A., die Cen¬ 
tral Intelligence Agency , die zusammen mit der Defense Intelligence Agency 
(D.I.A.) dem U.S. Intelligence Board (U.S.I.B.) untersteht und damit von Le¬ 
gislative und Exekutive kontrolliert wird. In Nachkriegsdeutschland ist der 
Bundesnachrichtendienst (BND), dem Bundeskanzleramt direkt unterstellt, 
zu nennen. Das postkommunistische Rußland hat den Sicherheitsdienst FSB . 
Die eigentlichen kryptologischen Dienste, insbesondere die kryptanalytischen 
Sonderabteilungen, sind häufig zwischen Diplomatie und Militär aufgeteilt. 
Das mag organisatorisch gut begründet sein, hindert jedoch oft den Erfah¬ 
rungsaustausch. In Großbritannien wurden im 2. Weltkrieg die Admiralität 
(O.I.C., Operational Intelligence Center ) und das Foreign Office (Department 
of Communications) durch die verzweifelte Situation von 1940 zu enger Zu¬ 
sammenarbeit gezwungen; Churchill tat ein übriges und richtete mit der ihm 
direkt unterstellten London Controlling Section (L.C.S.) eine schlagkräftige, 
von Oberst John Henry Bevan geleitete Überbehörde ein. Für die Krypt- 
analyse war innerhalb M.I.8 zuständig G.C.H.Q. ( Government Communica¬ 
tions Headquarters) , mit allerlei, teils historisch begründeten Spitznamen: 
G.C.&C.S. ( Governmment Code and Cypher 4 School ), War Station, Sta¬ 
tion X, Room 47 Foreign Office; häufig nach dem Ort, an dem es sich seit 
1939 befand, BP ( Bletchley Park ) genannt. Auch in BP blieb eine gewisse 
Trennung von AI (Air Intelligence ) und MI ( Military Intelligence ) von der 
traditionsbewußten Navy aufrechterhalten. Beide blickten auf ihre Erfolge 
im 1. Weltkrieg zurück, die in der M.I.l(b) ( Military Intelligence Division ) 
des War Office und im Room 40 der Admiralty errungen worden waren. 

In den Vereinigten Staaten von Amerika stellte sich im 1. Weltkrieg nach dem 
Kriegseintritt 1917 eine Notwendigkeit zum raschen Ausbau der militärischen 
Kryptologie ein. Im Rahmen der A.E.F. ( American Expeditionary Forces) 

3 Geb. 24.9. 1891 in Kischinew (Bessarabien) als Wolfe Friedmann, gest. 2.11. 1969, be¬ 
stattet in Arlington, Virginia (U.S.A.). Die Familie war 1892 nach den U.S.A. emigriert. 

4 cypher ist eine veraltete, in Großbritannien noch verbreitete Schreibweise für cipher. 
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fand sich G.2 A.6 ( General Staff, Military Intelligence Section, Military 
Information Division, Radio Intelligence Section) mit der Code Compilation 
Section of the Signal Corps; unter den Augen der MI-8 (Kryptologische Sek¬ 
tion der Military Intelligence Division), geleitet von Herbert Osborne Yard- 
ley (1889-1958). Eine Rivalität zwischen Army und Navy zog sich durch 
den 2. Weltkrieg: OP-20-G war die kryptologische Organisation der Navy 
mit der kryptanalytischen Abteilung OP-20-GY, Signal Intelligence Service 
(SIS) war das Gegenstück der Army, das Yardley aufgebaut hatte und das 
seit 1929 von William Friedman geleitet wurde. Nach den Erfahrungen des 
2. Weltkriegs wurde eine Konzentration herbeigeführt: Innerhalb G-2 ent¬ 
stand 1945 durch Verschmelzung der Army Signal Security Agency und der 
Kryptanalysis des Signal Corps die A.S.A. ( Army Security Agency), dann 
1949 die A.F.S.A. ( Armed Forces Security Agency) und weiterhin unter dem 
Secretary of Defense 1952 die N.S.A. ( National Security Agency), die unter 
die Leitung des legendären Bobby Ray Inman kam. Eine wichtige Einrich¬ 
tung ist I.D.A., das Institute for Defense Analyses, das offener arbeitet und 
mit einigen Universitäten Fühlung hat, sowie die Defense Intelligence Agency 
unter den Joint Chiefs of Staff. 

Auch im Deutschen Reich waren die Dienste zersplittert: Auswärtiges Amt 
einerseits, Heer und Kriegsmarine andrerseits erfuhren im 2. Weltkrieg noch 
Konkurrenz durch die Luftwaffe und durch den Sicherheitsdienst. Zwar war 
auf Betreiben des späteren Generals Erich Fellgiebel (1886-1944) schon 1934 
mit der ENIGMA eine Vereinheitlichung der maschinellen Kryptographie er¬ 
reicht worden, aber die vom OKW beständig geforderte Koordinierung aller 
Arbeiten scheiterte noch im Herbst 1943 am Widerstand von Ribbentrop, Gö- 
ing und Himmler. Als im November 1944 schließlich die Koordinierung durch 
WNV/Chi (Wehrmachtnachrichtenverbindungen Chiffrierwesen) durch Füh¬ 
rerbefehl angeordnet wurde, war das Nachrichtenwesen bereits in den Händen 
des aufstrebenden, Himmler und Hitler stets treue Ergebenheit heuchelnden, 
vom SS Brigadeführer zum SS Obergruppenführer aufgerückten Walter Schel¬ 
lenberg (1910-1952), der nach Verbüßung seiner in den Nürnberger Prozessen 
verhängten Strafe von nur sechs Jahren an einem Leber leiden starb — die 
Modeschöpferin Coco Chanel bezahlte seine Beerdigung. 

Im Nachkriegsdeutschland wurde 1953 in Bad Godesberg die ,Bundesstelle für 
Fernmeldestatistik 4 eingerichtet, deren Deckname eine leichte Untertreibung 
war; mit dem wahren Namen „Zentralstelle für das Chiffrierwesen“ war sie 
eine kryptanalytische Unterabteilung des Bundesnachrichtendienstes. Seit 
1990 besteht neben dem nicht in der Öffentlichkeit wirkenden ,Amt für Mili- 
tärkunde‘ ein „Bundesamt für Sicherheit in der Informationstechnik“ (BSI) 
im Innenministerium, das Fragen der öffentlichen Kryptologie zugewandt ist. 
In Frankreich war 2 bls (eine Hausnummer in der Avenue de Trouville) norm de 
guerre für die kryptanalytische Abteilung des Deuxieme Bureau. In Schweden 
lief das kryptanalytische Büro Försvarets Radioanstalt unter der Abkürzung 
FRA, in Italien war es SIM ( Servizio Infomazione Militare); in Japan ist 
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tokumuhan („Spezial Aufgaben Abteilung“) das Wort für die 1925 im Ad¬ 
miralstab eingeführte kryptanalytische Abteilung, daneben angö kenkyü han 
(„Chiffrier Forschungs Abteilung“) für die des Außenministeriums. 

2.2 Chiffrierung 

Fassen wir zusammen: Die Kryptologie (engl, cryptology) ist die Wissen¬ 
schaft von den (offenen) Geheimschriften (Kryptographie), von ihrer unbe¬ 
fugten Entzifferung (Kryptanalyse, engl, cryptanalysis) und von den Vor¬ 
schriften, die dazu dienen sollen, die unbefugte Entzifferung zu erschweren 
(Chiffriersicherheit, engl, cryptanalytical security). 

2.2.1 Der Zeichenvorrat V, mit dessen Hilfe der Klartext (engl.piain 
text 5 ) formuliert wird, ist das Klartext Vokabular oder der Klartextzei- 
chenvorrat. 

Der Zeichenvorrat FF, mit dessen Hilfe der Geheimtext (,Decktext‘, engl. 
cipher text, code text ) formuliert wird, ist das Geheimtextvokabular oder 
der Geheimtextzeichenvorrat, kurz auch Chiffre oder Code. Die einzel¬ 
nen Zeichen aus FF (Chiffren-, Codezeichen) können auch Sigel 6 sein. 

V und FF können verschieden sein, können aber auch zusammenfallen. 
V*, FF* sei die Menge der Wörter über V , FF (Klartextwörter, Ge¬ 
heimtextwörter). V* heißt Klartextraum, FF* heißt Geheimtextraum. 

e bezeichne das leere Wort. Z n ist die Menge aller Wörter der Länge n 
über Z , Z^ bezeichnet {^} U Z U Z 2 U Z 3 ... U Z n . 

V und FF sind in allen praktischen Fällen (nichtleere) endliche Mengen. 
Man kann aber theoretisch auch abzählbar unendliche Mengen zulassen, denn 
auch dann sind V* und FF* abzählbar unendlich. 

2.2.2 Eine Chiffrierung wird definiert als eine Relation X : V* —FF* . 
Die konverse Relation X -1 : V* -e— FF* , definiert durch 

x -<-h y genau dann, wenn x b->- y , wird Dechiffrierung genannt. 

x 

Man definiert V y = {x G V* : x b->- y} als Linksfaser von y G FF*, 

H x = {y G FF* : x b->- y} als Rechtsfaser von x G V* . 

Der befugte Empfänger einer chiffrierten Nachricht sollte den Klartext ein¬ 
deutig zurückgewinnen können. Eine Chiffrierung ist deshalb in der Regel 
injektiv: für alle y G FF* ist V y einelementig oder leer. 

Injektiv bedeutet: (x b->- z) A (y b->- z) => (x = y) (Jinkseindeutig’). 

In der Regel wird auch gefordert, daß die Chiffrierung X definal (eine 
Abbildung) ist, d.h. daß für alle x G V* H x nicht leer ist. 


5 Engl, clear text bedeutet: unchiffriert übermittelter Text. 

6 Von lat. sigillum ,Zeichen‘ (engl, siglum ): abkürzende Sonderzeichen wie 

@; auch in der Stenographie (,Kürzel‘) und im Journalismus (,r.s.‘ für Theodor Heuss). 
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Ist die Relation ---y auch funktional (,rechtseindeutig’): 
für alle x e V* ist H x einelementig oder leer, 

so ist X : V* - y VE* sogar eine Funktion V*—y VE* und, falls 

surjektiv, eine eineindeutige Zuordnung V* -<—y VE* . 

Man erhält die Durchführung einer Chiffrierung X : V * —-y VE* durch 
einen nichtdeterministischen Auswahloperator 77 , X(rr) = rj H x . 

Ist die Menge H x nicht einelementig und nicht leer, so heißen ihre Elemente 
homophone Texte für x . Homophone Texte sind also solche verschiedene 
Geheimtextwörter, die in der Relation —-y dem selben Klartextwort zuge¬ 
ordnet sind. Polyphone Texte sind solche verschiedene Klartextwörter, die 
in der Relation —-y dem selben Geheimtextwort zugeordnet sind. 

Im funktionalen Fall gibt es keine homophonen Texte, die Chiffrierung ist 
deterministisch, und also eine eindeutige Abbildung des Klartextbereichs der 
Relation in den Geheimtextbereich. 

x 

In der Regel gilt Enthält TL £ auch von 5 verschiedene Elemente, 

also homophone Texte für 5 E V *, so heißen diese Blendtexte. 

Beachte, daß die Menge aller Chiffrierungen V * —-y VE* (bei festen nicht¬ 
leeren V, VE) überabzählbar ist. 

Eine Chiffrierung X : V *- y VE* soll endlich heißen, wenn die Menge 

aller in Relation stehenden Paare eine endliche Menge ist. Es ist dann für 
geeignete n , m X : V^ - y VE ^ . 

Wie aber legt man eine Relation K* —-y VE* fest, wie gibt man sie an? 
Selbst wenn sie endlich ist, kann es sich praktisch verbieten, die Paare auf¬ 
zulisten. Man verwendet daher gern eine induktive Festlegung. 

2.3 ChifFrierschritt-System 

Es sei M , das ChifFrierschritt-System, eine nichtleere, in der Regel 
endliche Menge {xo , Xi 5 X 2 , X 0 - 1 } y o n (injektiven) Relationen 

Xi : V^ ni ^ —-y VE^ m ^ . Jedes Xi heißt ChifFrierschritt. 

Eine Chiffrierung X = [ x«i ? Xi 2 > X « 3 > • • • ] heißt endlich erzeugt (mit¬ 
tels des Chiffrierschritt-Systems M), wenn sie durch eine (abbrechende oder 
unendliche) Folge (x^ , Xi 2 5 Xi 3 5 ... ) von Chiffrierschritten Xi £ M 
unter der Konkatenation induziert wird, d.h. 

x e-y y gilt für x E V* , y E VE* genau dann, wenn es Zerlegungen 
x = x 1 *x 2 *xs* .. .*x k und y = y 1 * y 2 * V 3 * ... ★ y k gibt 7 mit 

Xij 

Xj e-y Vj für j = 1 , 2 , ... k . 


7 Dabei soll jedes Wort aus V * durch Anfügung belangloser Zeichen geeignet aufgefüllt 
gedacht werden. 
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Beispiel: 

Xi • V - y V ist zyklische Transposition von n* Elementen (0 = 4); 

rii =3, n 2 = 5, n 0 = 2, n 3 = 6 


eswarschondunke 1 
swe rscha no unke ld 


(xi 


X2 , Xo > Xs) 


2.3.1 6 = |M| soll stets die Kardinalität des Chiffrierschritt-Systems be¬ 
zeichnen. Ein Chiffrierschritt '• V^ ni ^ - y W (mi) ist eine erzeugende 

Relation der Chiffrierung, die Zahl m heißt die (maximale) Chiffrier¬ 
breite, die Zahl mi die (maximale) Chiffratbreite von • Die Relation 
Xi kann nichtdeterministisch sein. Das Chiffrierschritt-System und die Chif¬ 
frierung heißen endomorph, falls V — W. 

Wenn man von Homophonen (engl, homophones , auch variants , optional 
substitutes , multiple substitutes , frz. representations multiples) und Blen¬ 
dern, Nieten, Füllzeichen, Blindsignalen (engl .nulls, auch dummies , 
frz. nonvaleurs ) spricht, meint man meist die des Chiffrierschrittes. Enthält 
der Geheimtextbereich des Chiffrierschritts Wörter verschiedener Länge, so 
heißt der Chiffrierschritt gespreizt. 

Die Injektivität der erzeugten Chiffrierung ist nicht ohne weiteres gegeben: 
Sei etwa 

a i—^ — 

i •• 

aus einem injektiven V 1 —>- W D) , so gilt in E* —W* 
ai i—b- — • und 1 i—b- — • , 

es ist also die Injektivität verletzt (gute Funker setzen deshalb klare Pausen). 

2.3.2 Ein Chiffrierschritt x% 1 ist (bei endlichen V und W) 

wesensgemäß endlich, er kann prinzipiell durch Auflistung angegeben werden 
(Chiffrentabelle). Eine tatsächliche Auflistung wird oft als Codebuch (frz. 
code 1 Gesetzbuch) oder Satzbuch bezeichnet, der Chiffrierschritt dann als 
Codierschritt. Die terminologische Grenze zwischen ,Chiffrierung‘ und ,Co- 
dierung‘ ist fließend und häußg historisch bestimmt (s.4.4). Die Ausdrücke 
,Chiffre c und ,Code‘ werden auch für die Elemente von W^ mi ^ verwendet. 

2.3.3 Eine mittels M endlich erzeugte Chiffrierung X = [xi x , Xi 2 > Xh ? • • •] 
heißt monoalphabetisch, wenn sie lediglich einen einzigen Chiffrierschritt 
(,Alphabet‘) umfaßt oder benutzt. Andernfalls heißt sie polyalphabetisch. 
(Ist M einelementig (6 = 1), so ist jede mittels M endlich erzeugte 
Chiffrierung monoalphabetisch). 

2.3.4 Eine endlich erzeugte Chiffrierung heißt monographisch, falls alle 
Ui der verwendeten Chiffrierschritte gleich 1 sind, polygraphisch sonst. 
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2.3.5 In einem besonders für maschinelle Durchführung wichtigen Spezialfall 
sind alle Chiffrierschritte aus M von gleicher maximaler Chiffrierbreite n 
und gleicher maximaler Chiffratbreite m . M umfaßt dann notwendigerwei¬ 
se eine endliche Menge von Chiffrierschritten. Gilt sogar für alle Xi aus M 

Xz : V n —> W m , 

sind also insbesondere alle Chiffrierschritte ungespreizt, heißt die Chiffrierung 
[Xh i Xi 2 ^ Xi 3 i • • • ] BlockchifFrierung (engl, block cipher ), ein Wort aus 
V n heißt Block der Chiffrierung. Selbstverständlich kann die Blockchiffrie¬ 
rung in einem geeigneten Zeichenvorrat von Zeichen-n-tupeln theoretisch als 
monographisch aufgefaßt werden. 

Chiffrierschritt-Systeme mit \i : -^ VF m liefern für n — 2, 3, 4, 5 

Bigramm-, Trigramm-, Tetragramm-, Pentagrammchiffrierungen, 
die für m — 2, 3 bipartit, tripartit (engl, bipartite, tripartite , frz. bifide, 
trifide ) heißen. Häufig wählt man überdies V = W und m = n und hat 
dann eine Blockchiffrierung im engeren Sinn. 

2.3.6 Ein Strom (z\, z 2 , 23 ,...) ist eine unendliche Folge von Zeichenblöcken. 

Einem Strom ist eineindeutig zugeordnet ((zi), (z\ ★ z 2 ), (z\ ★ z 2 ★ 2:3),...) , 
eine unendliche Folge von Wörtern, den Abschnitten (z\ ★ ★ ... ★ zf) des 

Stroms. 

Als Klartextstrom wird eine unendliche Folge von Blöcken (pi,P 2 ,P 3 , • • •) , 
wo pj £ V n , bezeichnet; entsprechend eine unendliche Folge von Blöcken 
(ci,c 2 ,c 3 ,...), wo Cj £ W m , als Geheimtextstrom. Eine Stromchiffrie¬ 
rung (stream cipher ) ist eine Blockchiffrierung von Abschnitten eines fiktiven 
Klartextstroms zu Abschnitten eines ebenso fiktiven Geheimtextstroms. 

Eine mittels M endlich erzeugte Stromchiffrierung X = [x^ , Xf 2 5 Xh 5 • • • ] 
heißt periodisch (engl, repeated key) bzw. fortlaufend (,aperiodisch‘, engl. 
running key), jenachdem ob die unendliche Folge (xii , Xi 2 ^ Xh 5 • • •) schließ¬ 
lich periodisch ist oder nicht. Eine monoalphabetische Chiffrierung ist trivia¬ 
lerweise periodisch. Eine fortlaufende Chiffrierung ist also notwendigerweise 
polyalphabetisch. Darauf wird in 8.7 und 8.8 näher eingegangen werden. 

Jede periodische Blockchiffrierung der Periode r kann selbstverständlich 
theoretisch auch als monoaiphabetisch aufgefaßt werden, mit 

Xo : V n ' r —+- W m - r 

als einzigem Chiffrierschritt. Für fortlaufende Chiffrierungen gilt dies nicht; 
sie gehören prinzipiell einer mächtigeren Klasse von Chiffrierungen an: Ord¬ 
net man jedem Xi aus der endlichen Menge M den Index i zu, so kann die 
Folge (xi 1 , Xi 2 5 Xh 5 • • •) i m Zahlsystem zur Basis 6 durch den Bruch 
O.ii z 2 ^3 • • • dargestellt werden. Bei festem M entspricht dann der Menge 
der periodischen Blockchiffrierungen eine Teilmenge der abzählbaren Menge 
der rationalen Zahlen; der Menge der fortlaufenden Blockchiffrierungen die 
überabzählbare Menge der irrationalen Zahlen zwischen 0 und 1. 
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Ein aktuelles Beispiel einer monoalphabetischen, polygraphischen Blockchif¬ 
frierung ist das vom National Bureau of Standards der U.S.A. seit 1977 pro¬ 
pagierte DES-Chiffrierverfahren, mit eineindeutigen endomorphen Chiffrier¬ 
schritten 8 V 8 -<—>- V 8 mit einem Zeichenvorrat V — Z 8 (2.5.1) von 256 
verschiedenen 8-Bit-Wörtern — allerdings nicht durch Auflistung, sondern 
mit Hilfe eines Algorithmus definiert. Solche algorithmisch definierten Chif¬ 
frierungen (s. 9.6) ermuntern nicht gerade zum Gebrauch von Homophonen. 

Von einer polyalphabetischen, polygraphischen Chiffrierung, die aber keine 
Blockchiffrierung ist, kann man sprechen, wenn ein Klartext Wort für Wort 
mit Hilfe mehrerer, nach irgend einer Vorschrift periodisch oder nichtpe¬ 
riodisch abwechselnder Codebücher chiffriert wird. Praktische Verwendung 
kann hochkomplexe polyalphabetische polygraphische Blockchiffrierung wohl 
nur, aber gerade auch unter Verwendung von Rechenanlagen bekommen. 

2.4 Polyphonie 

Die Verwendung von Homophonen und Blendern gehört seit 1400 zum Stan¬ 
dard der Kryptologie. Seit 1500 wird auch von Chiffrierungen mit verschieden 
langen Chiffren Gebrauch gemacht; die Bedeutung der Linkseindeutigkeitsbe¬ 
dingungen bei gespreizten Chiffrierschritten (3.4) wurde spätestens um 1580 
von G. B. und M. Argenti klar erkannt. Die moderne Fano-Bedingung („keine 
Chiffre ist Anfang einer anderen Chiffre“, R . M. Fano) ist eine hinreichende 
Bedingung, die die Argentis anscheinend auch schon kannten. Für unge¬ 
spreizte Chiffrierschritte ist die Wortfuge durch Abzählen auffindbar. 

2 .4.1 Polyphone werden, ohne daß man sich darüber Gedanken macht, in 
manchen Sprachen verwendet, z.B. im Englischen, wo die beiden Phoneme 
[ai] wie in [braik] und [i:] wie in [fri:k] in der Schrift durch das selbe Zeichen¬ 
paar ea wiedergegeben werden. Kryptographisch haben polyphone Chiffrier¬ 
schritte, bei denen verschiedenen Klartextwörtern ein und das selbe Geheim¬ 
textwort zugeordnet ist, Nachteile: Sie erschweren die Dechiffrierung und sind 
deshalb selten zu finden. ‘SA Cipher’, ein Code der britischen Admiralität 
von 1918 (s. 4.4.3, Abb. 37), sowie die Chiffre der Herzogin von Berry mit 
dem Merkvers LEGOUVERNEMENTPROVISOIRE als Substitutions¬ 
alphabet (s. 3.2.5), sind einige der wenigen Beispiele für echte Polyphonie. 
Praktisch ausreichende semantische Entscheidbarkeit liegt vor, wenn etwa die 
Codewörter „Dieselöl“, „Unteroffizier“, „Paris“, oder „Rollbahn“, „General“, 
„Bodennebel“ polyphon sind. Am ehesten kommen anscheinend Amateure 
auf diese Idee. Ein englisches Liebespaar gab Babbage 1853 eine Nuß zu 
knacken durch eine polyphone Chiffre mit den Ziffern 0 bis 9 , wobei 
1 für t und u , 2 für m und o , 4 für e und r , 8 für h und i usw. 
stand. Die Geheimnachricht begann (mit zwei Chiffrierfehlern) mit 
1821 82734 29 30 84541 


8 die fest aus 2 56 Möglichkeiten (Schlüssellänge 56 Bits, s. 9.6.1.1) ausgewählt werden. 
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was “Thou image of my heart” bedeutete. Es scheint, daß die Liebenden an 
der Komplikation des Verfahrens besondere Lust empfanden. 

Jedoch ist ein polyphones Chiffrierverfahren schon in den Hochkulturen zwi¬ 
schen Nil und Euphrat verwendet worden: Da dort die Buchstabenzeichen 
gleichzeitig als Zahlenzeichen dienten, wurden gerne die Zahlwerte der Zei¬ 
chen eines geheimzuhaltenden Wortes zu einer Zahl (‘gematria 1 ) zusammen¬ 
gezählt. So könnte das in der Offenbarung des Johannes auftretende isopse- 
phon 666 (Offb. 13, 18) Kaiser Nero bedeuten (Abb. 20). Auf Autoschildern 
wird 666 als „teuflische Nummer“ mancherorts nicht gern gesehen. 
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Abb. 20. Zahlwert (hebräisch) von ,Kaiser Nero ’ (nach Steinbrüggen) 


Von Polyphonie sollte man, von einigen europäischen Sprachen her gesehen, 
auch bei der Schreibung des Arabischen (ohne Vokale) sprechen. Was aber 
“Pthwndxrclzp” in James Joyce 1 s “Finnegans Wake” bedeuten soll, wird die 
Literaturwissenschaftler (und die Leichenbestatter) noch lange beschäftigen. 

Technisch gesehen, arbeitet Bazeries ’ Zylinder (Abb. 19), der in 7.5.3 behan¬ 
delt werden wird, mit Homophonen und Polyphonen; die Injektivität wird 
aber praktisch dadurch hergestellt, daß die ,illegitimen 4 polyphonen Texte mit 
an Sicherheit grenzender Wahrscheinlichkeit keinen Sinn ergeben (Abb. 21). 
Naive Merkvers-Chiffrierungen (s. 3.2.5) fallen meist polyphon aus. Polypho¬ 
nie tritt auch bei der unbefugten Entzifferung manchmal erschwerend auf. 
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Abb. 21. Einige polyphone Texte auf Bazeries ’ Zylinder 
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2.4.2 Die Unterdrückung von Wortzwischenräumen und Interpunktionszei¬ 
chen, die in der klassischen professionellen Kryptographie zu den Grundregeln 
gehört (man spricht dabei von engl, formal ciphers ), stellt streng genommen 
Polyphonie dar. Dabei können allerdings Verwechslungen aufkommen, etwa 
zwischen „ernsthafte Reformen“ und „ernsthaftere Formen“; der Satz 

„Zehn Finger habe ich an jeder Hand fünf und zwanzig an Händen und 
Füßen insgesamt“ 

erlaubt grammatikalisch zwei verschiedene Kommasetzungen. Nur eine gibt 
auch den rechten Sinn. In dem Satz 

„Er beschloß nicht in den Wald zu gehen“ 

kann aber nur der situative Kontext über die richtige Kommasetzung ent¬ 
scheiden. Im Englischen ist es noch schlimmer: 

“British Railways hope to have trains running normally late this afternoon” 

könnte leicht sarkastisch gedeutet werden, und 

“The Prime Minister called for an end to violence and internment as soon 
as possible” 

ist ein Leckerbissen für die Opposition. 

Auch die Verwischung des Unterschieds zwischen Groß- und Kleinbuchstaben 
kann Verletzung der Injektivität ergeben: 

„die gefangenen fliegen“; „der neue weg“. 

Für polyphone Texte, die durch das leere Wort chiffriert werden, besteht 
kaum ein praktisches Bedürfnis, es sei denn, daß inhaltsleeres Gerede oder 
Geschreibsel eliminiert werden soll. 


2.5 Zeichenvorräte 

Mit N soll stets | X |, die endliche Kardinalität des (Klar- oder Geheimtext-) 
Zeichenvorrats X , bezeichnet werden. Da der Fall N = 1 uninteressant ist, 
verlangen wir N > 2 . Ein Alphabet ist ein linear geordneter Zeichenvorrat. 

2.5.1 Die verwendeten Klartext-Zeichenvorräte hängen von der Epoche und 
von der Sprache ab. Für die auf Hawaii gesprochene Sprache reicht der 
Zeichenvorrat Z\ 2 = {a, u, i, o, e, w, h, k, 1, m, n, p} aus. 

Im Mittelalter kam man in der lateinischen Tradition anscheinend meistens 
mit 20 Buchstaben aus, so 1563 Porta (Abb. 23) 

Z 20 = {a, b, ..., i, 1, ..., t, v, z} . 

Oft wird noch /k/, /x/ und /y/ hinzugenommen oder nur /x/ und /y/ 
(so anderswo bei Porta). Für /w/ wird lange /vv/ geschrieben und so ein 
Platz gespart, um /& / (et) unterzubringen, wie schon auf Albertis Scheibe, 
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1466 (Abb. 26). Ab 1600 ist dann europäischer Standard ein Alphabet von 
24 Zeichen 9 , 

^24 = Z 20 u {k, w, x, y} 
wobei immer noch /v/ für /u/ steht. 

Im 18. Jahrhundert wird auch das /u/ mitgenommen, 

= z 24 U {u} 

wenn man aber auch das /j/ (im Französischen) verfügbar haben will, muß 
man das /w/ wieder opfern ( Bazeries , 1891), 

z 25 = Z w U {j, k, u, x, y} . 

Im Italienischen sind /j/, /k/, /w/, /x/, /y/, im Französischen /k/, /w/ sehr 
selten. Das Irische kommt ohne /j/, /k/, /q/, /v/, /w/, /x/, /y/, /z/ aus. 
Ab 1900 setzt sich unser heutiges Alphabet 

Z 2 6 = ^24 U {j, u} . 

durch. Aber es gibt Ausnahmen. Die Tschechische Exilregierung verwendete 
im 2. Weltkrieg einen Zeichenvorrat von 31 Buchstaben und 13 Sonderzeichen 
Z 44 = {a, b, c, c, d, e, e, f, ..., r, r, s, s, t, ..., z, z, •, 0, 1, ..., 9} . 

Das italienische cifrario tascabile aus dem 1. Weltkrieg verwendete einen 
Zeichenvorrat Z 3 q = Z 26 U {0, 1, ..., 9}. 

Das (heutige) kyrillische Alphabet hat 32 Buchstaben (ohne E): 

Z 32 = { A E B T ü E >K 3 MMKJIMHOn 

p c t y<F xhhinnihbib 3 io fl }. 

Zur Darstellung von Ziffernzeichen und, wenn nötig, Interpunktionen und dia¬ 
kritischen Zeichen gibt es auch Sonderabmachungen verschiedenster Art. Der 
Wortzwischenraum wird in der professionellen Kryptographie unterdrückt (er 
kommt im Deutschen noch häufiger als das /e/ vor). 

2.5.2 Die verwendeten Geheimtext Zeichenvorräte sind meist durch techni¬ 
sche Zwänge bestimmt; es werden dafür neben den obigen Alphabeten auch 
andere (Abb. 22) benutzt 10 , aber auch phantastische Zusammenstellungen, 
vor allem von Amateuren (s. 3.1.1). Binär-, Ternär-, Quinär-, Denär- 
chiffrierung haben W = Z 2 , W = Z 3 , W = Z$ , W = Z\ 3 : 

^256 = Z\ (Bytes; IBM um 1964) 

Z 32 = Z\ (Francis Bacon 1605, 1623, Baudot 1874) 

^10 = {0, 1, 2, ..., 9} (denär) 

Z 6 = {a, D, F, G, V, X} (senär; entsprechend den gut unterscheidbaren 

Morsezeichen — , — ,- ) 

9 Trithemius (1518) verwendet /w/ als 24. Zeichen. In einer französischen Übersetzung 
von 1561 (Gabriel de Collange ) ist das ‘deutsche’ /w/ wieder durch /&/ ersetzt (nach 
Eyraud). 

10 binär: biliteral, als zweielementiger Zeichenvorrat: Bacon 1605, 1623; 

dual mit expliziten Werten: a = 1 ,6 = 2,c = 4,d = 8, usw.; abfg = 99 : Napier 1617; 
dual mit Ziffern, als Stellenwertsystem: Harriot vor 1621, Caramuel 1670, Leibniz 1679. 
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Z 4 = {1, 2, 3, 4} 
^3 = {1, 2, 3} 

Z 2 ={O.L} 


(quaternär; Alberti 1466, Caramuel 1670, 
Weigel 1673) 

(ternär; Trithemius 1518, Wilkins 1641, 
Friderici 1685) 

(binär; Francis Bacon 1605, 1623) 


2.5.3 Die neun Ziffern {1, 2,3,..., 8,9} dienten (auch iteriert) der Kriegs¬ 
marine zur Chiffrierung von Koordinaten in Kartennetzen (Abb. 22). 
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Abb. 22. Chiffrierung durch Dezimalziffern in Kartennetzen 

2.5.4 Fashionable ist die Gruppierung von Geheimtexten in Pentagramme. 
Sie hat ihren Ursprung in den Tarifbestimmungen der Internationalen Tele- 
graphen-Union, die seit 1875 die Wortlänge auf maximal 10 begrenzte (wobei 
Codes harten Einschränkungen unterlagen), 1904 aber auch die zulässige Co¬ 
delänge auf 10 Buchstaben ausdehnte (Whitelaw’s Telegraph Cyphers : 20 000 
aussprechbare Fünfergruppen, daraus 400 000 000 aussprechbare Codewörter) 
und später generell Fünfergruppen berechnete. 

2.5.5 Der unbefugte Entzifferer kennt von der Relation X : V* —VF* 
sowohl V wie X nicht. Aus X(U*) kann er jedoch gelegentlich auf das 
verwendete Verfahren schließen (Polybius etc., s. 3.3.1). 

2.5.6 Wenn, wie es häufig der Fall ist, Klartext- und Geheimtextzeichen¬ 
vorrat zusammenfallen (V = W , endomorpher Fall), ist es heute in 
theoretischen Abhandlungen weithin üblich, Klartext und Klartextzeichen 
mit Kleinbuchstaben, Geheimtext und Geheimtextzeichen mit Kapitälchen 
zu schreiben. Kursive Großbuchstaben stehen dann für sogenannte Schlüssel 
zur Verfügung (Schlüsselzeichen). 11 


2.6 Schlüssel 


Schlüssel dienen sowohl der Bildung einzelner Chiffrierschritte wie auch der 
Auswahl der Chiffrierschritte aus einem Chiffrierschritt-System M. Schlüssel 
erlauben, die Chiffrierung zu wechseln, nach bestimmten vorher verabredeten 
Regeln, etwa jeden Tag, oder nach jeder Nachricht. Oft werden Schlüssel so 


11 Auf Alberti ’s Scheibe (Abb. 26) ist es allerdings anders herum. Auch Lange-Soudart 
zeigen auf einem Saint-Cyr-Schieber (Abb. 27) als Klartextzeichen Großbuchstaben, als 
Chiffren Kleinbuchstaben. 
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eingerichtet, daß mit ihrer Hilfe nach einfachen Regeln die einzelnen Chif¬ 
frierschritte gebildet werden können. Meistens ist die Abbildung der Menge 
der Schlüsselzeichen auf die Menge der Chiffrierschritte injektiv, aber es gibt 
Ausnahmen, wie bei den PORTA-Chiffrierschritten (Abb. 53, Abb. 69), wo je 
zwei Buchstaben den selben Chiffrierschritt bezeichnen. 

Ist kj der j -te der nacheinander verwendeten Schlüssel, so soll der zugehörige 
Chiffrierschritt mit x« 3 , Xsj G {xo, Xu X2, ■ ■ ■, Xe- 1 } bezeichnet werden. 

2.6.1 Der anhaltende Gebrauch des selben Schlüssels kommt der Verwen¬ 
dung eines einelementigen Chiffrierschritt-Systems gleich; die professionelle 
Kryptographie arbeitet, abgesehen von Codierungen, kaum mit derartigen 
festen Chiffrierungen. Der Gebrauch eines Codebuchs über Jahre hin¬ 
weg im diplomatischen Verkehr ist ein solcher Fall — man kann allerdings 
die Diplomaten mancher Staaten kaum als professionelle Chiffrierer ansehen: 
Diplomatische Codes wurden zuzeiten in Städten wie Wien in einem regen 
Untergrundmarkt gehandelt. Besonderen Ruf im Stehlen von Codebüchern 
genoß die Sowjetunion. Im Sommer 1936 entzifferte ein russischer Agent in 
Haarlem, Niederlande, mit Hilfe eines gestohlenen Codebuches Telegramme 
zwischen dem japanischen Militärattache in Berlin und seiner Regierung in 
Tokyo. Zu Beginn des ersten Weltkrieges besaß vermutlich jede europäische 
Großmacht Kopien einer oder mehrerer der amerikanischen diplomatischen 
Codebücher. Und im August 1941 verschaffte Lohs Gherardi dem italie¬ 
nischen Servizio Informazione Militare unbemerkt eine Kopie des BLACK 
Code, den U.S. Militärattaches gebrauchten. 

Vielleicht stimmt auch die von Allen W. Dulles erzählte Geschichte von dem 
amerikanischen Gesandten in Rumänien — wie so häufig ein abgehalfterter 
Politiker , der sein Codebuch verloren hatte und den Verlust nicht melden 
wollte; er ließ immer einige Nachrichten Zusammenkommen und nahm dann 
den Zug nach Wien, um dort in der Botschaft die Arbeit zu verrichten. — 
Fazit: Auch Codebücher müssen regelmäßig, unter Umständen sogar monat¬ 
lich, ausgewechselt werden. 

Schlüssel, die der Verfahrensauswahl dienen, müssen gegenseitig vereinbart 
sein. In dieser Vereinbarung liegt oft eine Schwäche der Chiffrierschritt- 
Systeme. Für exponierte Situationen ist ohnehin der Schlüsselnachschub 
gefährdet, erschwert oder gar unmöglich. In solchen Fällen greift man oft auf 
unverfängliches Buchstaben- oder Zahlenmaterial zurück, wie bekannte Ro¬ 
mane oder statistische Berichte, Telefonbücher etc. — von Hasek’s „Bravem 
Soldaten Schwejk“ bis zum Statistischen Jahrbuch für das Deutsche Reich 
1935 wurde schon alles verwendet. Aber auch dieses System ist verwund¬ 
bar; wird die Schlüsselquelle preisgegeben, öffnet sich ein ganzer Strom von 
Nachrichten auf einen Schlag. 

Die kombinatorische Komplexität eines Verfahrens wird bestimmt durch die 
Anzahl der verfügbaren Schlüssel. Die Technik der Schlüssel ist individuell; 
sie wird bei den einzelnen Chiffrierverfahren besprochen werden. 
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2 . 6.2 Anknüpfend an 2.3.5 , sei X eine endlich erzeugte Blockchiffrierung, 

x = [ x Sl , Xs 2 , Xs 3 > • • • ] , wobei Xs 3 ■ Pj ^ . 

(pi,P 2 ,P 3 , •. •), wo pj G V n , bezeichnet dabei die Klartext-Zeichenfolge, 
(ci, C 2 , C 3 ,...), wo Cj G W m , die zugehörige Geheimtext-Zeichenfolge. 

kj sei der Schlüssel, der Xsj bezeichnet, Sj sei ein Operator, der für Xsj(-) 
steht. Dann haben wir dreierlei Schreibweisen für die Chiffriergleichung 

°j = Xsj ( Pj ) oder Cj = X(pj, kj) oder Cj = Pj Sj . 

Beachte, daß \i den i-ten Chiffrierschritt aus der Abzählung der Chiffrier¬ 
schritte bezeichnet, während Xsj derjenige Chiffrierschritt ist, der im j-ten 
Schritt der Durchführung der Chiffrierung zur Anwendung kommt. 

Ist, wie üblich, Xsj injektiv und deßnaf so existiert eine Umkehrung x “ 1 , 
für die (mit Y = [ x “ 1 , x> X ^ 1 , • • • ] ) gilt 

Pj^XäpCj) oder Pj=Y{cj,kj) oder Pj = Cj Sj 1 . 

Es ist also Xj^iXsjiPj)) — Pj und damit auch 

X Sj (xp(x Sj (Pj))) = XsjiPj) ■ 

Ist Xs auch surjektiv und eindeutig, also eineindeutig, so gilt sogar für 
alle c/eW m 

Xsjix^Hcj)) = Cj . 

Beim wechselseitigen Verkehr zweier Partner kann dann der eine eine 
Folge von Xsj als Chiffrier- und Dechiffrierschritte, der andere die korre¬ 
spondierende Folge von x^/ a ^ s Chiffrier- und Dechiffrierschritte verwenden. 

2.6.3 Sei wieder X eine endlich erzeugte Blockchiffrierung. Zwei Klartexte 
(P 11 P 21 P 31 • • •) ^ {PiiP 2 iP 3 i • • •) Pi = Pi S, wo S eine feste Substitution 
ist, heißen isomorph. Das gleiche gilt für zwei Geheimtexte (c^, <4, C 3 , ...) , 
(c", c'f , C 3 ,...) mit c' = cf T, wo T eine feste Substitution ist. Nunmehr hat 
man für die Chiffrierschritte E[,Ef\ 

Ist c' = p'E[ und cf = pfEf , so ist S E[ = Ef T . 

Sind die Chiffrierungen umkehrbar, so werden isomorphe Klartexte in iso¬ 
morphe Geheimtexte chiffriert und umgekehrt: Es ist dann 

T = ( E'T 1 SE[ und 5 - E’{ T (E ')~ 1 . 

Sind S und T umkehrbar, so können die Schlüssel ineinander umgerechnet 
werden: 


Ef = SE[ T^ 1 und E[ = S~ x Ef T . 




2.6 Schlüssel 45 


2.6.4 Ein Chiffrierschritt-System, bei dem jeder Chiffrierschritt und damit 
insbesondere das ihm zugeordnete Schlüsselzeichen eindeutig durch das Paar 
von Klartextzeichen und zugehörigem Geheimtextzeichen bestimmt ist, soll 
Shannonsches ChifFrierschritt-System und die zugehörige Chiffrierung 
Shannonsche Chiffrierung genannt werden. Viele der gebräuchlichen 
Chiffrierverfahren erfüllen diese Shannon-Eigenschaft. 

Ein Chiffrierschritt-System, bei dem jeder Chiffrierschritt gleichzeitig auch 
Dechiffrierschritt ist und damit die Bestimmung des Schlüsselzeichens aus 
Klartextzeichen und Geheimtextzeichen symmetrisch ist, heißt schlüssel- 
symmetrisch. Jeder Chiffrierschritt ist damit involutorisch (s. auch 3.2.1). 



3 Chiffrierschritte: Einfache Substitution 


Unter den Chiffrierschritten betrachtet man vornehmlich die beiden großen 
Klassen Substitution und Transposition. Beide sind nur Spezialfälle des allge¬ 
meinen Chiffrierschritts V - h W( m ) . Wir werden zunächst verschiedene 

Arten der Substitution betrachten und uns erst im 6. Kapitel der Transposi¬ 
tion zuwenden. 


Für eine einfache Substitution (engl. 

Substitution , frz. Substitution) , auch 
,Tauschverfahren‘ oder ,Ersatzverfahren‘) 
sind alle Chiffrierschritte G M mono¬ 
graphisch, d.h. von der Gestalt 

X* : V (1) —^ . 

Aus M wird im monoalphabetischen Fall 
ein beliebiges Xs ausgewählt und mit der 
Chiffrierung X = [x s , Xs , Xs , •••] ge- 
arbeitet. Es genügt dann also, M ein- 
elementig zu nehmen. 

Wir behandeln zuerst den Fall, daß für 
alle i mi = 1 gilt. 



Abb. 23. Chiffrierscheibe von Porta , 1563 


3.1 Fall v« — y W (umpartite GirifachG SiibstitiifcioriGri^ 

Im Falle — -y- W handelt es sich um eine unipartite einfache Sub¬ 
stitution, auch einfache Substitution schlechthin genannt. 

3.1.1 V—yW , Chiffrierung ohne Homophone und ohne Blender. 

Dieser Fall ist uralt. Für W wird gern ein Alphabet seltsam geformter, 
unüblicher Zeichen verwendet: in Thailand, Persien, im koptischen Äthiopien 




3.1 Fall VW (unipartite einfache Substitution) 

und anderswo. Solche Zeichen verwendet Giovanni Battista Porta (Giambat- 
tista Deila Porta , 1535-1615) auf seiner Chiffrierscheibe (Abb. 23). Auch Karl 
der Große soll solche Zeichen benutzt haben (Abb. 24) und, nach Bernhard 
Bischoff, die hl. Hildegard von Bingen (1098-1179), die vielseitige Gelehrte. 

ab c de fgbi kl m n o p q r f t u x j z 1 1 

TK ff i?* V'QXyXX-i-iV 4 ? 

Abb. 24. Geheimzeichen Karls des Großen 

Die Freimaurerchiffre (engl, auch pigpen cipher) fällt hierunter; in ihrer mo¬ 
dernen Form lautet sie 

abcdefgh ijklmno pqrstuvwxy z 

juLnacnnrjuL30[i r inrv'><^ 


Sie kann memoriert werden durch die Schemata 


a 

b 

C (ohne j 

k 

1 (mit N \ S y/ (ohne W Z 7 (mit 

d 

e 

f Punkt) m 

n 

O Punkt) t üü U Punkt) y Punkt) 

g 

h 

i P 

q 

r / v \ / z \ 


Noch 1728 wurde am Zarenhof (neben Nomenklatoren) eine heteromorphe 
Substitution V — >- W mit einem bizarren Geheimzeichenvorrat verwendet. 

Literarisch berühmt wurde eine heterogene Substitution mit gewöhnlichen 
Lettern durch Edgar Allan Poes Erzählung “The Gold-Bug” (s. 15.10.1). 

Hierunter fällt auch die Kaufmanns-Chiffre für Preisauszeichnung und Da¬ 
tumskennung, eine Abbildung Z io —^26 , die durch ein Kennwort (engl. 
password ) oder einen Kennsatz erzeugt wird (‘key-phrase’ cipher); etwa mit 
dem Kennwort MILCHPROBE 

1234567890 

MILCHPROBE 

Dieser Chiffrierschritt wurde bei der Kennzeichnung des Verpackungsdatums 
von Butter über Jahre hinweg gebraucht. Ebenso wurde in ENIGMA-Chif- 
frierungen der Marine manchmal Ziffern durch Buchstaben wiedergegeben: 

1234567890 

qwertzuiop 

3.1.2 V^ — -h W , Chiffrierung mit Homophonen und Blendern. 

Homophone finden sich schon in arabischen Quellen, etwa bei al-Qalqashandi 
1412 und in einer Chiffrierung, die das Herzogtum Mantua 1401 für einen 
Briefwechsel mit Simeone de Crema benutzte. Die Vokale bezeichnender¬ 
weise also die häufiger vorkommenden Zeichen besaßen Homophone, ein 
erstes Anzeichen von Überlegungen zur Nivellierung der Häufigkeiten. Dazu 
wurde W durch Ziffern erweitert. Die Einführung von Homophonen legt 
praktisch die Einführung von Blendern nahe: Sonst erkennt man zu leicht 
Homophone am umgebenden gleichbleibenden Wortmuster häufiger Wörter. 
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Ein bis heute benutztes Verfahren mit Homophonen ist die BuchchifFre: In 
einem (beim Sender und beim Empfänger in identischen Kopien vorhande¬ 
nen) unverfänglichen Buch wird ein Buchstabe nach dem anderen aufgesucht, 
die dazugehörigen Lagen werden etwa durch Angabe von Seite, Zeile und Po¬ 
sition chiffriert: Wird als Buch das vorliegende (3. Auflage) gewählt, so kann 
mummel durch 3-7-1, 5-6-5, 6-12-6, 4-5-3, 7-8-3, 5-2-11 chiffriert werden. 

3.2 Spezialfall V ^ V (Permutationen) 

Im eineindeutigen Falle V ^ W unter den Beispielen in 3.1.1 spricht man 
von einem umgeordneten Alphabet W (engl, mixed alphabet , frz. alpha- 
bet desordonne, alphabet incoherent) von N Klartextzeichen, das einem 

Standard-Alphabet V von N Geheimtextzeichen gegenübersteht. 

Zur Definition einer Substitution genügt es, irgendwie die Paarungen von 
Klartextzeichen und Geheimtextzeichen aufzulisten, etwa für V = Z 26 und 
W = Z 26 (Verwendung von Kleinbuchstaben und Kapitälchen, vgl. 2.5.6): 
udcbmavgkstnwze ihfqlj ropxy 
HEWA S RI GTOUDCLNMFYVBPKJQZ X 

Für den Chiffrierer ist es natürlich bequemer, die Klartextzeichen in einer 
geläufigen Weise, also nach einem Standard-Alphabet, geordnet zu haben: 
abcdefghijklmnopqrstuvwxyz 
RAWENYGFMPTB S DJQVKOUHI CZXL 

In der Mathematik ist diese ,Substitutionsschreibweise 6 üblich. Für den De- 
chiffrierer ist es aber besser, die Geheimtextzeichen nach einem Standard- 
Alphabet anzuordnen: 

blwndhguvorzi e s jpamktqcyfx 
ABCDEFGHI JKLMNO PQRSTUVWXYZ 
Eine neue Situation liegt vor im endomorphen Fall V = W . Speziell die ein¬ 
eindeutige Substitution V -c —>-V heißt dann Permutation von V . Permu¬ 
tationen sind in elektrischen Realisierungen durch Vertauschen von Leitungen 
in Leitungsbündeln erzielbar. 

Für Permutationen ist in der Mathematik neben der Substitutionsschreib¬ 
weise auch die ,Zyklenschreibweise 6 gebräuchlich, in unserem Beispiel 
(a r k t u h f y x z 1 b) (c w) (den) (g) (i m s o j p q v) . 

Dabei muß die unterschiedliche Schreibung mit Kleinbuchstaben und Kapitäl¬ 
chen aufgegeben werden. Für den Chiffrierschritt geht man in dem Zyklus, in 
dem man den Klartextbuchstaben gefunden hat, zum (zyklisch) nachfolgen¬ 
den Buchstaben, für den Dechiffrierschritt zum vorausgehenden. Einerzyklen 
werden oft nicht notiert — wir werden dem meist nicht folgen. 

3.2.1 Die ältesten Quellen (wenn man von Ägypten absieht — wir werden 
unter ,Code c darauf zurückkommen) zeigen eine involutorische (engl, oft 
self-reciprocaf reciprocal, frz. reciproque ) Abbildung von V in sich, und 
zwar in Indien: Im Käma-sütra des Vätsyäyana wird Geheimschrift als eine 



3.2 Spezialfall V -<—>- V (Permutationen) J^.9 

der 64 Künste erwähnt, als MüladevTya wird bezeichnet die Vorschrift (die 
übrigen Buchstaben bleiben invariant): 
v < 2 > y akhghctnnrly 

' ^ kg ntpnmsss 

Ein anderes Beispiel einer allgemeinen involutorischen Abbildung benutzte 
1780 die amerikanische Studentenverbindung Phi Beta Kappa (V — Z 2 q): 
abcdefghi jmns 
utylzokpwvqrx 

Im hebräischen Alten Testament wurde eine furchenwendige Substitution ver¬ 
wendet (,Atbasch‘, revertiertes Alphabet, engl, inverse alphabet , frz. al- 
phabet inverse ), die im lateinischen Alphabet (V = Z 2 q ) so lauten würde: 

T/ 2 abcdefghi 1 

V -<—>- V : l , 

* zvtsrqponm 

Dem steht gegenüber eine involutorische Abbildung mit einem komple¬ 
mentären (Standard-)Alphabet ( Eyraud : alphabet complementaire) , s. 5.6 : 1 
abcdefghilm 
azvtsrqponm 

Naheliegend ist auch eine involutorische Abbildung mit einem verschobenen 
Alphabet wie das hebräische ,Albam c , von den Argentis 1589 gebraucht: 

2 a bcdefghil 

V -< — y- V : T i 

^ mnopqrstvz 

oder ( Porta 1563, s. 7.4.4, Abb. 53, mit V = Z 22 ) 
abcdefghilm 
nopqrstvxyz 
Den allgemeinen furchenwendigen Fall mit einem Kennwort zeigt (V = Z 2 q) 
y ^2 ^ angersbcdfhij 

' ^ zyxwvut qpomlk 

Der Vorteil involutorischer Abbildungen liegt generell in der kompakten 
Schreibweise und dem von manchen Leuten für wichtig gehaltenen Umstand, 
daß Chiffrierschritt und Dechiffrierschritt identisch sind. 

In der Zyklenschreibweise der Permutationen würden wir die letzten fünf 
Beispiele schreiben (mit alphabetisch geordneten Zyklenanfängen) 

(a,z) (b,v) (c,t) (d,s) (e,r) (f,q) (g,p) (h,o) (i,n) (l,m) 

(a) (b,z) (c,v) (d,t) (e,s) (f,r) (g,q) (h,p) (i,o) (l,n) (m) 

(a,m) (b,n) (c,o) (d,p) (e,q) (f,r) (g,s) (h,t) (i,v) (l,z) 

(a,n) (b,o) (c,p) (d,q) (e,r) (f,s) (g,t) (h,v) (i,x) (l,y) (m,z) 

(a,z) (b,t) (c,q) (d,p) (e,w) (f,o) (g,x) (h,m) (i,l) (j,k) (n,y) (r,v) (s,u) 

Echt involutorisch ist eine Abbildung, die keine Einerzyklen, also (wie oben 
vorwiegend) nur Zweierzyklen (engl, swaps) hat. Gegen sie gibt es besondere 
Angriffsmöglichkeiten (s. 14.1), die schon entfallen, wenn einige der Zyklen 
einer involutorischen Permutation Einerzyklen (engl, females) sind. 


U^U : | 


U^U : | 


U^U : | 


1 Es handelt sich aber um keine echte Involution: a und m gehen in sich über. 
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X 


X 


® X® ®X) © X® ® ®x ® ® 

abcdefghijklm 
Abb. 25. Involutorische Substitution mittels Doppelsteckerpaar und Schaltklinken 


Im Fall eines binären Alphabets (V = Zf) ist die einzige nichttriviale Per¬ 
mutation involutorisch: 


rX v : I 


o 

L 


3.2.2 Involutionen sind in elektrischen Realisierungen durch Vertauschung 
von Leitungspaaren erzielbar, technisch einfach durch Doppelstecker und 
Schaltklinken (Abb. 25). Solche Involutionen werden im Steckerbrett der 
ENIGMA verwendet. Die Anzahl d(k,N ) der Involutionen hängt von N 
und von der Anzahl k der benutzten (Doppel-)Steckerpaare ab: es ist 


d(k,N) 


N\ 

2 k ■ (N — 2k)\ ■ k\ 


N\ (2 k)\ 
2 k) ' 2 k k\ 


") • ( 2 * - 1 )!! . 


Echte Involutionen verlangen, daß N — 2v gerade ist. Die Anzahl aller 
echten Involutionen ist dann (mit einem relativen Fehler < 10 -3 für N > 6 ) 


<2(f,JV) = (JV-l)ü = (V — 1) • (V —3) • ... ■ 5-3-l = @ « 


Die Abschätzung liefert eine recht gute obere Schranke für (N — 1)!! . 


Bei festem N wird jedoch d(fc, N) bereits maximal für k £ 

^ v — + l)/2 

d(5,26) ? 

a 5.02 • 10 9 , 

<2(6,26) p 

a 1.00-10 11 , <2(7,26) s 

a 1.31 • 10 12 , 

<2(8,26) ? 

a 1.08 • 10 13 

, <2(9,26) p 

a 5.38- 10 13 , <2(10,26) p 

a 1.51 • 10 14 , 

<2(11,26) ? 

a 2.06 • 10 14 

, <2(12,26) p 

a 1.03- 10 14 , <2(13,26) p 

a 7.91 • 10 12 


und d( 3,10) = 3150 , d{ 4,10) = 4725 , d{ 5,10) = 945 . 

Die ENIGMA I der Reichswehr von 1930 verwendete ursprünglich 6 Stecker¬ 
paare, die Wehrmachts-ENIGMA ab 1.10.1936 5-8 Steckerpaare, ab 1.1.1939 
7-10 Steckerpaare, ab 19.8.1939 10 Steckerpaare. 


3.2.3 Eine kompakte Notation erlaubt auch die voll zyklische Permuta¬ 
tion mit genau einem Zyklus, die von der Ordnung N ist: 
etwa mit N = 20 der Zyklus des Standard-Alphabets Z 20 

N 

V -<—^ V : (a b c d ... t v x) 

oder dessen dritte Potenz 2 
N 

V -<—y V :(adglorvbehmpsxcfinqt); 


2 


Die zweite Potenz ist jedoch nur von der Ordnung 10, und die zehnte Potenz ist nur 
noch von der Ordnung 2 : es ist eine der oben betrachteten involutorischen Abbildungen. 
Die (N-l)-te Potenz ist invers zur 1. Potenz und liefert den Dechiffrierschritt. 
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in Substitutionsschreibweise 3 

abcd...tvx abcd ... t vx 

B C D E . . . V X A bzw. D E F G . . . A B C . 

Letzteren Chiffrierschritt hat Julius Caesar (nach Suetonius) benutzt, im 
Alphabet drei Buchstaben weiterzählend. Sein Nachfolger Augustus, Caesar 
in mancher Hinsicht unterlegen, benutzte die erstere Substitution (vielleicht 
konnte er nicht bis drei zählen; nach Suetonius ersetzte er auch x durch AA ). 
Jede Potenz des Zyklus des Standard-Alphabets liefert ein CAESAR-Alpha¬ 
bet. Wir werden darauf im 5. Kapitel (CAESAR-Addition) zurückkommen. 

Eine monoalphabetische Substitution mit einem CAESAR-Chiffrierschritt 
wurde 1915 in der russischen Armee eingeführt, nachdem sich herausgestellt 
hatte, daß man den Stäben etwas Komplizierteres nicht zumuten konnte. Für 
Ludwig Deubner und Hermann Pokorny , die Chefs der Entzifferungsdienste, 
war das ein Leckerbissen (ein gefundenes Fressen 6 bzw. ein ,gmahtes Wiesk). 

Ihrer Natur nach genügen eine Spur auf einer Scheibe, der Rand einer Münze 
oder ein zum Ring geschlossener Streifen zur Darstellung eines vollen Zyklus. 
Solche Hilfsmittel wurden weithin gebraucht, in besonderer Weise (s. 7.5) 
benutzten sie Jefferson (um 1795) und Bazeries (1891). Die q-te Potenz er¬ 
hält man durch Weiterzählen im Zyklus um jeweils q Zeichen (s. 3.2.8). 

3.2.4 Auch für nicht-involutorisches und nicht-zyklisches V-<—>-V wird der 
allgemeinste Fall eines permutierten Alphabets (engl, mixed alphabet , 
frz. alphabet desordonne) normalerweise in Substitutionsschreibweise notiert: 
Tr Tr abcdefghiiklmnopqrstuvwxyz 

V-< - >-V : Ö J tr H J 

SECURITYABDF GHJKLMNOPQVWXZ 
Zyklenschreibweise ergibt 

V ^: (a s n h y x w v q 1 f i) (b e r m g t o j) (c) (d u p k) (z) , 
einen Zwölfer-, einen Achter-, einen Viererzyklus nebst zwei Einerzyklen. 


3.2.4.1 Weitere permutierte Alphabete bekommt man durch zyklische Ver¬ 
schiebung einer der beiden Zeilen in der Substitutionsschreibweise (verscho¬ 
bene permutierte Alphabete, frz. alphabets desordonnes paralleles ) 


Tr _ abcdefghiiklmnopqrstuvwxyz 

V-<—yV : Ö J tr H J 

ECURITYABDFGH JKLMNOPQVWXZS 
Tr abcdefghiiklmnopqrstuvwxyz 

CURI TYABDFGH J KLMNOPQVWXZSE 
in Zyklenschreibweise 

V^—yV : (a e i b c u q m h) (d r n j) (f t p 1 g y z s o k) (v) (w) (x) , 
V-<—yV : (acrolhbuvwxzetqnkg) (fyspmj) (di) . 


3 Man spricht auch hier — sich auf die zweite Zeile des Substitutionsausdrucks bezie¬ 
hend von Standardalphabeten (engl. Standard alphabet, frz. alphabet ordonne) und 
entsprechend von einer Standardalphabet-Chiffrierung (engl. Standard alphabet cipher). 
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3.2.4.2 Durch Potenzierung erhält man die potenzierten permutierten 
Alphabete, etwa aus der Substitution SECURITY... von oben mit einer 
zweiten Potenz 

V-<—^V : (a n y w q f) (b r g o) (c) (dp) (e m t j) (h x v 1 i s) (k u) (z), 
wobei alle Zyklen gerader Länge halbiert werden; in Substitutionsschreibweise 
abcdefghijklmnopqrstuvwxyz 
V *~ V ' N R C P M A O X S E U I T Y B D F G H J K L Q V W Z 
Potenzierung einerseits, Verschiebung andererseits liefern i.a. nicht das glei¬ 
che; es handelt sich um zwei grundverschiedene Verfahren zur Erzielung einer 
Familie von bis zu N begleitenden Alphabeten (s. 7.1, 7.2). 

3.2.5 Die obigen Beispiele lassen bereits die Konstruktion der einfachen en- 
domorphen Substitution V -<—>- V mittels eines „Schlüssels“ erkennen: Eine 
klassische Methode benutzt memorierbare Kennwörter oder Kennsätze 
(,Merkwort‘, ,Merkvers‘, ,Losung‘, engl, password , mnemonic key ), schreibt 
deren Buchstaben ohne Wiederholung an und fügt sodann die noch nicht 
verwendeten Buchstaben in Alphabetreihenfolge an. Für den Fall der so de¬ 
finierten Substitution geht die Methode auf die Argentis , um 1580, zurück. 
Sie gehört bis heute zum kryptologischen Standard. 4 

Diese Konstruktion ist aber anfällig. Zu leicht kann ein fehlender Teil des 
Kennworts erraten werden (immerhin treffen die häufigen Vokale e und a 
immer auf einen Kennwort-Buchstaben, wenn das Kennwort wenigstens die 
Länge 5 hat). Zumindest sollte das Kennwort keine ,Auffüllung‘ erfordern. 
Raffiniertere Methoden benutzen eine Umstellung der Sequenz, beispielsweise 
indem diese erst zeilenweise geschrieben und dann spaltenweise abgelesen 
wird 5 (Verfahren von Wheatstone , 1854). 

SECURITY aeilorux 

ABDFGHJ K bfjmpsvy 

LMNOPQVW cgknqtwz 

X Z d h 

Damit ergibt sich das Alphabet 

abcde f ghi j k lmnopqrs t uvwxyz 
SALXEBMZCDNUFORGPIHQTJVYKW 

bzw. in Zyklenschreibweise mit dem Einerzyklus (e) 

(ashzwvjdxyknoriclutqpgmfb) (e) 

Ein weiteres Verfahren füllt auch noch die Spalten der Klartextseite in der 
Alphabetordnung der Buchstaben des Kennworts, also in der Reihenfolge 

dritte, zweite, sechste, fünfte, erste, siebte, vierte, achte Spalte 

4 Läßt man Wiederholungen zu, so kommt man zu Polyphonen, etwa (s. 2.4) 

abcde fghij lmnopqrstuvxyz 
LEGOUVERNEMENTPROVISOIRE . 
und verkürzt den Geheimtextzeichenvorrat (hier auf 14 Zeichen, {b,g,j,m,z} i—>E) . 

5 Solch eine Umstellung wird in 6.2 methodisch als ein Chiffrierverfahren (Transposition) 
behandelt werden. 
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mit dem Ergebnis 
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Damit 

erhält 

man 

das 

Alphabet 
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bzw. in Zyklenschreibweise 

(a c n s j q x y k r t v f m p 1 g z w o) (b d e) (hi) (u) . 

Die geschilderte Methode kann auch für die Gewinnung von Zyklen benutzt 
werden. Der Kennsatz evitez les courants d’air » („vermeidet Zugluft“ , 
Bazeries , 7.4.3) liefert 

N 

V -<—>- V :(evitzlscourandbfghjkmpqxy) 

3.2.6 Nachfolgende Tabelle gibt für N = 26 , für N = 10 und für N = 2 
einen Überblick über die Anzahl der verfügbaren Alphabete V -<— V : 


Anzahl der Permutationen 

Z(N) 

Z( 26) 

z( io) 

Z(2) 

alle 

N\ 

4.03 • 10 26 

3628800 

2 

voll zyklische 

(N- 1)! 

1.55 • 10 25 

362880 

1 

involutorische insgesamt 

« N{N\)i 

5.33 • 10 14 

9496 

2 

echt involutorische 


7.91 • 10 12 

945 

1 

aus sinnvollen Kennwörtern 
(,Merkwörtern‘) gewonnene 


10 4 ... 10 6 




3.2.7 Zur Mechanisierung einer Substitution kann man die feste Gegen¬ 
überstellung der Klartext- und der Geheimtextzeichen, wie sie sich in der 
Substitutionsschreibweise ßndet, auch auf einem Lineal (engl, strip) oder ei¬ 
ner Walze (engl, cylinder ) unter bringen und durch zwei Fenster die beiden 
jeweils zusammengehörigen Zeichen sichtbar werden lassen. Diese Fenster 
können auch so angeordnet werden, daß der Meister nur das Klartextfenster, 
der Schreiber nur das Geheimtextfenster sieht und damit den Sinn der Nach¬ 
richt nicht versteht (s. 7.5.2, Maschine von Gripenstierna , Abb. 54). Eine 
Auswahl aus N begleitenden verschobenen Alphabeten erhält man, wenn 
man etwa das Geheimtextfenster verschiebbar macht. 

Eine andere Möglichkeit besteht darin, Klar- und Geheimtextalphabet gegen¬ 
einander verschiebbar zu machen durch Verwendung zweier gegeneinander 
verdrehbarer Scheiben (Abb. 26) oder zweier gegeneinander verschiebbarer 
Lineale (Abb. 27). Im letzteren Fall ist es erforderlich, daß eines der Alpha¬ 
bete wiederholt wird (Duplikation). 
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Abb. 26. 

Chiffrierscheibe von 
Leon Battista Alberti 
(nach Lange-Soudart 1935) 



a|bIc[d|e|f|g|h|i|j |k|1 |m|n|o|p|q|r|s|t|u|v|w|x |y|z|a|b|c|d|e|f|g|h|i|j|k|1 |m| 

|s|e|c|u|r| i |t|y|a|b|d|f|g|h| j|k|l[m|n|o|p|q|v|w|x|z| 

Abb. 27. Chiffrierschieber mit dupliziertem Klartextalphabet 


Chiffrierscheiben (engl, cipher disk , frz. cadran ) als mechanische Hilfsmit¬ 
tel für allgemeine Substitution mit verschobenen permutierten Alphabeten 
wurden schon 1466 von Leon Battista Alberti beschrieben 6 , s. a. Farbtafel B. 
Chiffrierschieber (engl, cipher slide , frz. reglette ä chiffrer ) wurden schon 
im elisabethanischen England, um 1600, verwendet. Im 19. Jh. wurden sie 
Saint-Cyr-Schieber, nach der gleichnamigen französischen Kriegsschule, ge¬ 
nannt. Dem selben Zweck dienen Chiffrierstäbchen (frz. bätons , engl, rods ). 

3.2.8 Zur Mechanisierung einer einzigen voll zyklischen Permutation kann 
man auch von der Zyklenschreibweise ausgehen. Man bringt den Zyklus auf 
einem Lineal unter (das erste Zeichen muß wiederholt werden) oder auf einer 
Walze und sieht zwei unmittelbar benachbarte Fenster für das Ablesen der 
Klar- und der Geheimtext Zeichen vor. 

Eine Auswahl aus N begleitenden potenzierten Alphabeten erhält man 
wieder, wenn man den Abstand zwischen den beiden Fenstern veränderlich 
macht. Im Falle des Lineals muß das ganze Alphabet wiederholt werden. Die 
q- te Potenz der vollen zyklischen Permutation erhält man, wenn die Fenster 
einen Abstand von q Zeichen haben (Abb. 28 für q = 14). 


s|e|c|u|r| i |t|y|a|b|d|f|g|h|j|k|l |m|n|o[p|q|v|w|x| z|s|e[c|u|r| i |t|y|a|b|d|f|g 

Abb. 28. Chiffrierlineal mit Fenstern für Potenzen eines Alphabets 


6 Bei Alberti sind möglicherweise, abweichend vom modernen Gebrauch, Großbuchstaben 
Klartext, Kleinbuchstaben Geheimtext. Das Zeichen et steht vermutlich für das Symbol 
& . Die Anfangseinstellung der Scheibe erfolgt durch Gegenüberstellung eines Schlüssel¬ 
buchstabens, etwa D, zu einem festen Buchstaben, etwa /a/. 
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3.3 Fall V (1) —-x W m (multipartite einfache Substitutionen) 

3.3.1 m — 2 , bipartite einfache Substitutionen V^ ---x W 2 . 

Es handelt sich um Substitutionen durch Bigramme. Mit \W\= 5 hegt hier 
ebenfalls ein altes Verfahren einer Quinär Chiffrierung vor, das schon Polybius 
gekannt haben soll. Z 25 wird in ein 5x5-Quadrat eingeschrieben: 
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Nach der Vorschrift rechts ergibt sich für das Textsemagramm 

33515141234333514512432411343411343442331144424333 
von 1 . 1 , Abb. 5 der Klartext 

needmoneyforassassi nation . 

Diese spezielle Chiffrierung Z 25 -x Z 5 x Z 5 hat sich als internationaler 

Klopf-Code bis heute in Haftanstalten gehalten. Die normale Übertragungs¬ 
geschwindigkeit beträgt 10-15 Wörter pro Minute. Im Zarenreich wurde 
ein solcher Klopf-Code (mit einem 6 x 6 -Quadrat) verwendet und gelangte 
mit russischen Anarchisten nach Westeuropa (,Anarchistenchiffre 6 ), wurde 
auch steganographisch benutzt (vgl. 1 . 2 ). Über den Gebrauch in der Sowjet¬ 
union berichteten Arthur Koestler in ,Sonnenfinsternis 6 (Volkskommissar Ru- 
baschow an den Häftling in Zelle 402) und Alexander Solschenizyn in ,Der 
Archipel GULAG 6 . 

Im allgemeinen arbeitet man mit einem Kennwort, das zeilenweise ins Qua¬ 
drat eingeschrieben wird und ergänzt dieses dann. Der Graf Mirabeau , ein 
französischer Revolutionär des 18. Jahrhunderts, verwendete dieses Verfahren 
in Briefen an die Marquise de Monnier — er schloß allerdings ein tomographi¬ 
sches Verfahren (s. 9.5.1) an und nahm 6 7 8 9 0 als Blender hinzu. 

Mit | W |= 6 und Quadraten wie 
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arbeitete das ADFGVX-System, das unter Ludendorff 1918 an der Westfront 
im Funkverkehr eingesetzt wurde (für das Geheimalphabet Z 6 vgl. 2 . 5 . 2 ). 

Auch rechteckige Anordnungen werden benutzt. So findet man schon bei 
Giovanni Batista Argenti um 1580 das Schema mit VE — Z 10 (denär) 
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und damit die erste Verwendung eines Kennworts überhaupt. Auch Homo¬ 
phone können so leicht eingeführt werden: 
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Besser ist es, bei den Homophonen auf die Häufigkeit zu achten. Ausgehend 
von der Häufigkeitsreihenfolge des Englischen etaonirsh (zusammen 
etwa 70%) ergibt sich als eine gute Annäherung an eine Nivellierung 
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In den beiden letzten Beispielen kann 0 als Blender dienen. 7 Eine andere 
Methode benutzt ein 4-buchstabiges Kennwort und setzt damit den Beginn 
der Zyklen (00..24), ( 25 . .49), ( 50 . .74), ( 75 . .99) fest (mit V = Z 25 ) für eine 
homophonische Chiffre, etwa mit dem Kennwort KILO : 

abcdefghiklmnopqrstuvwxyz 

K 16 17 18 19 20 21 22 23 24 00 01 02 03 04 05 06 07 08 09 10 11 12 13 14 15 

I 42 43 44 45 46 47 48 49 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 

L 65 66 67 68 69 70 71 72 73 74 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 

0 87 88 89 90 91 92 93 94 95 96 97 98 99 75 76 77 78 79 80 81 82 83 84 85 86 

Eine nicht homophonische bipartite Chiffre über Zio benutzte schon 1786 der 
schwedische Baron Fridric Gripenstierna — möglicherweise auf Christopher 
Polheim zurückgehend. Eine spaßige Form einer bipartiten Chiffre mit Homo¬ 
phonen wurde zwischen Brig. Gen. Leslie R. Groves und Lt. Col. Peer da Silva 
in Los Alamos verabredet (Abb.29), um bei Telefongesprächen besondere 
Namen und Bezeichnungen geheimhalten zu können. Das raffinierte daran 
ist, daß man die Buchstaben suchen muß und damit Homophone womöglich 
mehr zufällig auswählt als sonst, wo die Chiffrierer meist voreingenommen 
(engl, biased ) vorgehen. 

3.3.2 m = 3 , tripartite einfache Substitutionen -^ W 3 

Es handelt sich um Substitutionen durch Trigramme. Mit \W\ = 3 schlägt 
schon Trithemius in der Polygraphiae von 1518 für steganographische Zwecke 
eine solche Abbildung vor, W — { 1, 2, 3} , | W 3 \ = 27. Ternärchiffrierung 
wie diese wird selten verwandt. 


7 Null, ursprünglich nulla ziffra, wird immer noch nicht überall ernst genommen. 
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1234567890 
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0 

Abb. 29. Bipartite Chiffre, in Los Alamos 1944 bei Telefongesprächen verwendet 

3.3.3 m = 5 , quinpartite einfache Substitutionen W 5 

Es handelt sich um Substitutionen durch Pentagramme. Mit \W\ = 2 wird 
quinpartite Substitution schon von Francis Bacon zu steganographischen 
Zwecken (vgl. 1.2) verwendet. Quinpartite Binärchiffrierung ( | W 5 \ = 32 ) 
findet ihre Wiederauferstehung in der Chiffriermaschine von Vernam 1918 
(s. 8.3.2) und im Siemens-Geheimschreiber (s. 9.1.3). 

3.3.4 m = 8 , octopartite einfache Substitutionen V ^ W 8 

Mit | W | = 2 (binärer EBCDIC-Code oder gesicherter ASCII-Code) wird 
diese Substitution durch Bytes in den modernen Rechenanlagen verwendet. 

3.4 Der allgemeine Fall V (1) —W (m) , Spreizen 

Der allgemeine Fall V ^ lädt geradezu zur Verwendung von 

Blendern und Homophonen ein. 

Simeone di Crema in Mantua (1401) benutzte (mit m — 1) lediglich Homo¬ 
phone. Mit m = 2 wird dann neben Homophonen und Blendern noch ein 
wichtiger Gedanke ins Spiel gebracht: Das ,Spreizen c des Alphabets (engl. 
straddling ), die Abbildung von V in W 1 U W 2 . Auf Matteo Argenti geht 
eine nach 1590 am päpstlichen Hof verwendete Chiffre zurück, die Homo¬ 
phone, Blender und Spreizen zeigt. Für ein um die Wörter et con non che 
erweitertes Alphabet Z 24 gibt er (mit Blendern 5, 7 ) die Spreizung an als 

abcde f gh i lmnopqr s tvzet con non che 5 

1 86 02 20 62 22 06 60 3 24 26 84 9 66 68 28 42 80 04 88 08 64 00 44 
82 40 

3.4.1 Gespreizte Chiffrierung unterliegt der Einschränkung, daß die da¬ 
durch induzierte Chiffrierung injektiv ausfallen muß — dies bedeutet, daß 
die Wortfuge zwischen den ein- und zweibuchstabigen Chiffren eindeutig 
rekonstruierbar sein muß. Wie schon in 2.4 gesagt, kannte Giovanni Bat ist a 
Argenti und sein Neffe Matteo bewußt oder unbewußt diesen Sachverhalt, 



OT 



58 3 Chiffrierschritte: Einfache Substitution 


jedenfalls genügten ihre Chiffren dieser Bedingung. Auch für die noch zu 
besprechenden gespreizten Chiffren gilt dies: W wird zerlegt in 
Zeichen für einelementige Chiffren: W' = {1, 3, 5, 7, 9} und 
Zeichen, mit denen zweielementige Chiffren beginnen: W" — {0, 2, 4, 6, 8} . 
Die Argentis schrieben vernünftigerweise des weiteren vor, nach dem q das 
u zu unterlassen sowie Buchstabenverdopplungen zu unterdrücken. Es un¬ 
terlief ihnen aber auch der Fehler, die zweiten Elemente der zweielementigen 
Chiffren auf W" zu beschränken: Dies legt die Spreizung offen. 

Gespreizt sind insbesondere die sogenannten Spionage-Chiffren, die der 
NKWD ( Narodni Komisariat Wnustrennich Del ) und seine Nachfolger ver¬ 
wendeten. Sie wurden durch einige überführte Spione aufgedeckt. In Anleh¬ 
nung an Polybius-Quadrate schreibt man sie meist als Matrizen an, etwa 


wobei die erste Zeile die einelementigen Chiffren enthält. 

Mit W = Z io erhält man so 28 Chiffren, die für Z 26 und zwei Sonderzeichen, 
. für ‘stop’ und / für Buchstaben-Ziffernwechsel 8 ausreichen. 

Zur Konstruktion dieser Chiffre verwendet man ebenfalls Kennworte. Dr. Per 
Meurling , ein schwedischer fellow traveller , schrieb 1937 ein achtbuchstabiges 
Kennwort an und darunter das Restalphabet. Die Numerierung lief rück¬ 
wärts. (M. Delvayo war ein spanischer Kommunist.) 

0987654321 
m d e 1 v a y o 

1 bcfghijknp 

2 qrstuwxz./ 

Dadurch wurden jedoch keineswegs die häufigeren Buchstaben einziffrig chif¬ 
friert. Dies war auch noch nicht so bei der Methode, die der schwedische 
Spion Eriksson 1941 verwendete: Er numerierte die Spalten nach der Alpha¬ 
betordnung der im Kennwort vorkommenden Buchstaben um (vgl. 3.2.5): 

6087549123 

3 pausomvejk 
9 bcdfghilnq 

r t w x y z 

Das Kennwort war aus einer schwedischen Übersetzung von Jaroslaw Hasekk 
Geschichte vom Braven Soldaten Schwejk, “Paus, som Svejk själv avbröt ...” 
genommen. Da aber die einziffrige Chiffrierung der häufigsten Buchstaben 

8 Weil diese Chiffrierung noch einer weiteren Chiffrierung unterworfen wird (,Überchiffrie- 
rung‘, 9.2.1), wurden Ziffern durch identische Ziffernzwillinge oder gar -drillinge chiffriert 
— eine Sicherung gegen Ubertragungsfehler. 
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auch die Telegraphierzeit reduziert, wurde vom NKWD ab 1940 eine dies 
besonders berücksichtigende Konstruktionsmethode angewandt. 

Max Clausen , Funker des russischen Spions Dr. Richard Sorge in Tokyo, 
mußte den Satz u a sin to err ” memorieren, der die acht häuügsten Buchsta¬ 
ben des Englischen enthält, zusammen 65.2% (und für einen Agenten auch 
sonst ein guter Rat ist). Mit einem Kennwort /subway/ beginnend, wurde 
dann ein Rechteck ausgefüllt, sodann wurden spaltenweise von links nach 
rechts in der Reihenfolge ihres Auftretens durchnumeriert erst die Buchsta¬ 
ben der Menge {a s i n t o e r} mit 0..7 , dann der Rest mit 80..99: 

s u b w a y 

0 82 87 91 5 97 

c d e f g h 

80 83 3 92 95 98 

i j k 1 m n 

1 84 88 93 96 7 

o p q r t v 

2 85 89 4 6 99 

x z I 

81 86 90 94 

In diesem Beispiel ergibt sich in kompakter Schreibweise die oben unter (*) 
angegebene Chiffre. 

3.4.2 Für das kyrillische Alphabet eignet sich eine Einteilung in 7 einziffrige 
und 30 zweiziffrige, zusammen 37 Chiffren, die 5 Sonderzeichen ermöglichen. 
Die Methode, die der übergelaufene Agent Hayhanen, ein Gehilfe von Abel , 
verriet, verlangt zuerst, daß die Nachricht in der Mitte geteilt und verkehrt 
herum zusammengefügt wurde, damit die verwendeten Teile am Anfang und 
Ende (Standardfloskeln) nach innen kamen (,russische Kopulation 4 ). Als 
Kennwort diente das russische Wort SNEGOPAD („Schneefall“), dessen er¬ 
ste sieben Buchstaben zusammen 44,3 % Häuügkeit haben. Dann wurde das 
Rechteck des mit dem Kennwort SNEGOPA gebildeten Alphabets 

c h e r o n a . . . 

B B R >K 3 H H K JI M 

p t y $ x n kinnih 

BI B 3 IO fl. 

umsortiert mit einem von Nachricht zu Nachricht wechselnden Schlüssel, der 
an vorbestimmter Stelle der Geheimnachricht eingefügt wird. Schließlich er¬ 
folgte noch eine Überschlüsselung (s. 9.2). 

Winston Churchill nannte Rußland “a riddle wrapped in a mystery inside 
an enigma” . Dies trifft auch für die russische Kryptologie zu. Nur zögernd 
werden Namen und Methoden aufgedeckt. 




4 Chiffrierschritte: Polygraphische 
Substitution und Codierung 


Die einfache (monographische) Substitution erfordert eine vollständige Zer¬ 
legung des Klartextes in Einzelzeichen. Eine polygraphische Substitution 
erlaubt polygraphische Chiffrierschritte, d.h. Chiffrierschritte von der Gestalt 
V( n ) —>■ mit n > 1. 


4.1 Der Fall V 2 —-h W von Bigramm-Substitutionen 


4.1.1 Die älteste polygraphische Chiffrierung dieses Typs findet sich 1563 bei 
Giovanni Battista Porta (Giambattista Deila Porta) in De furtivis litterarum 
notis, vulgo de ziferis (Abb. 30), eine V 2 —y W 1 . Porta zeigte großen 
Einfallsreichtum bei der Erfindung von 400 seltsamen Graphemen. 


Abb. 30. 

Älteste bekannte 
Bigramm-Substitution von 
Giovanni Battista Porta, 1563 
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4 . 1.2 Zur Darstellung der Chiffrierung V 2 —+- V 2 , einer bipartiten 
Bigramm-Substitution, wird meist eine Matrix (,Tauschtafel 4 ) benutzt. 

Für V 2 ^ V 2 handelt es sich um eine Bigramm-Permutation. 

2 

Nachfolgend ein Beispiel V 2 —h V 2 einer involutorischen bipartiten 

Bigramm-Permutation 
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Der involutorische Charakter (beispielsweise ao i— ► CC , cc i—»AO ; ah i—► CI , 
ci i—► AH ; af i—> EL , el i—>AF) ist nicht oberflächlich erkennbar. 
Involutorische bipartite Bigramm-Permutation wurde im 1940 eingeführten 
, Werftschlüssel 4 der Kriegsmarine benutzt, nach einem ,'Tauschtafelplan 4 wur¬ 
den 20 Matrizen (30 ab März 1944) im täglichen Wechsel eingesetzt. 

Weitere Bigramm-Permutationen V 2 -< — V 2 können wieder durch Kenn¬ 
wörter erhalten werden, etwa mit /amerika/ und /equality/ 



a 

m 

e 

r 

i 

k 

b 

c 

d 

f 

g 

h 

j 

i 

n ... 

e 

XZ 

KJ 

YJ 

HP 

PL 

EL 

VB 

CI 

DW 

XN 

ZL 

YP 

VN 

HH 

CC 

q 

LP 

QT 

HE 

RS 

UR 

CR 

ZH 

GV 

WC 

HL 

YN 

KT 

WT 

MC 

KH 

u 

DX 

MN 

AO 

NH 

SF 

Gl 

WL 

MN 

AH 

GR 

BZ 

HS 

ZU 

YM 

WU 

a 

KM 

YZ 

RY 

FP 

TR 

CR 

XE 

JK 

NY 

PO 

GJ 

JR 

PE 

MO 

VB 

1 

QU 

HP 

QG 

JQ 

YQ 

OB 

SA 

NL 

PX 

OP 

VS 

AF 

XK 

XR 

UQ 


(wobei natürlich der involutorische Charakter entfällt; die Dechiffrierarbeit, 
wenn keine inverse Tafel zur Verfügung steht, mühsamer wird). 

Die Aufstellung einer Matrix erfordert die gute Arbeit eines Kryptologen, da¬ 
mit die Häufigkeiten der Buchstaben nivelliert (vgl. 3.1.2) werden. Auch eine 
Angleichung an die Häufigkeitsverteilung der Buchstaben in der betreffenden 
Sprache und damit die Vortäuschung einer Transposition ist möglich. Ideal 
ist eine Matrix, bei der in jeder Zeile und jeder Spalte jeder Buchstabe genau 
einmal als erster und einmal als zweiter vorkommt, etwa 
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Solche Matrizes heißen ,griechisch-lateinische Quadrate 4 . Außer für N = 6 
(,Eulersches 36-Offiziere-Problem’, 1779) gibt es für alle natürlichen Zahlen 
N > 2 griechisch-lateinische Quadrate, in der Regel mehrere. 
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Jedenfalls ist das von Helen Fouche Gaines angegebene Beispiel 

AA BA CA DA ... 

AB BB CB DB ... 

AC BC CC DC ... 

AD BD CD DD ... 


nicht geeignet: Es ergibt sich eine monographische 2-alphabetische Chiffrie¬ 
rung (s. polyalphabetische Chiffrierung, 8.2) mit anschließender paarweiser 
Buchstabenvertauschung (s. Transposition, Kapitel 6). 

Nachfolgende Tabelle gibt für N = 26, N = 10 und N = 2 einen Überblick 
über die Anzahl der verfügbaren Matrizes (vgl. 3.2.6) V 2 -<—^ V 2 : 
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Z(N) 
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z( io) 

Z( 2) 
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(N 2 )! 

1.88 • 10 1621 

9.33 • 10 157 

24 

echt involutorische 

« (N 2 'p 

7.60 • IO 809 

2.73 • 10 78 
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Abb. 31a. Bipartite Bigramm-Chiffrierung von Rufzeichen des RSHA-Funknetzes 
in Norwegen 


Ein klassisches Beispiel zeigt Abb. 31a, eine Chiffrierung V 2 -<—^ V 2 zur 
Verschlüsselung von Rufzeichen des Funknetzes des RSHA in Norwegen. Es 
ist allerdings kein griechisch-lateinisches Quadrat. 

Zehn solcher Tabellen wurden im Amt VI (Heinz Jost , ab 1942 Walter Schel¬ 
lenberg), der auslandsnachrichtendienstlichen Abteilung Himmlers , erstellt, 
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möglicherweise von Andreas Figl. 1 Dieser, ein sehr erfahrener Kryptanalyst, 
hatte 1911 als Hauptmann das kryptanalytische Büro der k.u.k. Armee aufge¬ 
baut, in der besten Tradition des Wiener Hofes. 1915 löste der Major Figl ita¬ 
lienische Funksprüche. 1926 stand er im Rang eines Obersten, als er ein gutes 
Lehrbuch „Systeme des Chiffrierens“ (243 Seiten mit 45 Beilagen, Graz 1926) 
schrieb. Eine angekündigte Fortsetzung „Systeme des Dechiffrierens“ wurde 
bereits 1926 amtlich nicht zum Druck freigegeben; nur das Inhaltsverzeichnis, 
nicht aber das Manuskript scheint erreichbar zu sein. 

Für die Uber Chiffrierung der den Funksprüchen vorangestellten Spruch¬ 
schlüssel auf der Marine-ENIGMA wurden seit L Mai 1937 involutorische 
bipartite Bigrammsubstitutionen verwendet. Die dazu bereitgestellten zehn 
Tafeln, zwischen denen gewechselt wurde — sie trugen Namen wie FLUSS 
(Abb. 31b), BACH, STROM, TEICH, UFER) — kannten die Briten; sie hat¬ 
ten sie erbeutet (u.a. Gedania , June 1941; VP 5904 , Januar 1942; U-505, 
Juni 1944) oder möglicherweise gestohlen, später auch rekonstruiert. Der 
willkürlich gewählte Spruchschlüssel, etwa /psq/, wurde verdoppelt zu /ps- 
qpsq/ und (mit einer für den Tag geltenden Grundstellung, etwa iaf ) chif¬ 
friert; das Chiffrat, etwa SWQRAF, wurde in zwei Teile aufgeteilt: 

S W Q * und mit Blendern aufgefüllt: S W Q X 

* R A F & PRAF 

Die Bigrammchiffrierung wurde vertikal vorgenommen, mit etwa 

F Q C X S 

P » A^D’ F^Z 

Gesendet wurde der chiffrierte Spruchschlüssel ( indicator ) QFCSAPDZ . 
Empfangsseitig wurde das Verfahren rückwärts angewandt: Zuerst die (in¬ 
volutorische) Bigrammsubstitution und das Wegbrechen der Blender, dann 
die involutorische ENIGMA-Chiffrierung mit der Grundstellung iaf , die ein 
Muster 123123 ergeben mußte, dessen erste Hälfte der einzustellende Spruch¬ 
schlüssel war. Das Verfahren zur Vereinbarung eines Schlüssels zwischen den 
beiden Partner (engl, key negotiation ) mutet kompliziert genug an, um den, 
der es sich ausgedacht hat, in Sicherheit zu wiegen. Für die Briten waren 


S 

P 


Q 

A 


W 

R 


ergab sich 


Q F C S 
A P D Z 


1 Das RSHA hatte 1938 beim Einmarsch in Österreich den österreichischen General An¬ 
dreas Figl (1873-1967), ehemaliger Leiter des österreichischen Dechiffrierdienstes, zu¬ 
sammen mit Unterlagen „erbeutet“. Dies wurde „entdeckt“ von dem jungen Österreicher 
Dr. Wilhelm Höttl (*1915), 1943 stv. Leiter von Amt VI E. Leiter des Amt VI Ewar 
Walter Huppenkothen, der die Untersuchungen zum 20. Juli 1944 leitete. 

Figl , bis Mitte 1941 in Berlin-Wannsee im Gewahrsam der SS, konnte sich als „Berater“ 
von Höttl einigermaßen frei bewegen. Höttl zog ab Mitte 1944 auch Kryptologen der 
ungarischen Armee heran, darunter Major Bibo, dem es noch 1944 gelang, in den Ver¬ 
kehr des europäischen Spionage-Chefs Allen W. Dulles mit Washington einzudringen. 
Höttl spielte nach Kriegsende noch eine unrühmliche politische Rolle im österreichischen 
„Verband der Unabhängigen“ und in der „Wahlpartei der Unabhängigen“, die 1949 18 
Mandate erzielte, dann aber zerfiel. Selbstbewußt (‘I was Hitler’s Master Spy’) schrieb 
er später Bücher (‘The Secret Front’, 1954 und unter dem Pseudonym Walter Hagen 
‘The Paper Weapon’, 1955). 
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die Hindernisse trotzdem überwindbar. Die Schlüsselvereinbarung ist bis auf 
den heutigen Tag ein besonderer Schwachpunkt der Kryptographie. 
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Abb. 31b. Involutorische Bigrammsubstitution FLUSS der Kriegsmarine 















Die Briten sollten durch ihre eigenen Erfolge gewarnt sein: Auch die bri¬ 
tische Merchant Navy benutzte Bigrammsubstitution zur Überchiffrierung 
ihres praktisch offenen BAMS-Code. Die Chiffrierunterlagen fielen 1940 in 
deutsche Hände, als der deutsche Hilfskreuzer Atlantis das Schiff City of Bag¬ 
dad im Indischen Ozean aufbrachte. Dem B-Dienst der Kriegsmarine gelang 
es bis 1943, die Überchiffrierung der alliierten Handelsschiffs-Funksprüche 
abzustreifen. 

Zur Überchiffrierung von Ziffern-Codes dient eine Chiffrierung Z 2 0 -<—y Z 2 0 , 
wie sie die ,Geheimklappe‘ bietet, die im März 1918 von den Deutschen für 
taktische Nachrichten an der Westfront eingeführt wurde, mit einer Tafel 
zur Chiffrierung und einer zur Dechiffrierung (Abb.32). Gegen Ende des 
1. Weltkriegs wurde diese bipartite Bigrammsubstitution täglich gewechselt. 

4 . 1.3 Auch tripartite Bigrammsubstitutionen V 2 —y W s werden gelegent¬ 
lich benützt, etwa die denäre tripartite Bigramm-Substitution (W — Z\q) 

a b c d e 
a 148 287 089 623 094 ... 

b 243 127 500 321 601 ... 

c 044 237 174 520 441 ... 

d 143 537 188 257 347 ... 


Kryptanalytisch fällt V 2 —-y für beliebiges n in ein und die selbe 

Klasse und kann aufgefaßt werden als | V | -fach homophone einfache Sub¬ 
stitution der gerade numerierten bzw. der ungerade numerierten Buchstaben. 
Entsprechend trivial ist es, die Chiffrierung zu brechen, wenn, wie im obi¬ 
gen Beispiel V 2 ^ — yV 2 von Helen Fouche-Gaines , ohne Verwendung eines 
Kennworts gearbeitet wird und ziemlich viel Material vorliegt. Eyraud weist 
darauf hin, daß insbesondere die Methode, eine Nachricht in zwei Hälften 
geteilt untereinanderzuschreiben und für spaltenweise Paare Bigramm-Sub¬ 
stitution zu verwenden, eine complication illusoire ist. 
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4.2 Spezialfälle von Playfair und Delastelle: 
Tomographische Verfahren 

4.2.1 1854 erfand Charles Wheatstone eine spezielle bipartite Bigramm- 

Substitution (Abb. 33), die sein Freund Lyon Play fair, Baron of St. Andrews , 
hohen Regierungsstellen und Militärs empfahl. Das System wurde erstmals 
im Krimkrieg verwendet, Playfairs Name blieb mit ihm verbunden. Noch im 
1. Weltkrieg benutzte die britische Armee dieses System, und die Deutschen 
brachen es ab Mitte 1915 regelmäßig. 

Der PLAYFAIR-Chiffrierschritt geht wie folgt: Ein aus einem Kennwort ge¬ 
wonnenes permutiertes Alphabet Z 25 (etwa das klassische Z 26 unter Wegfall 
des J) wird in ein 5x5-Quadrat (frz. damier) geschrieben: 2 
PALME TONRS 

RSTON DFGBC 

BCDFG or KQUHI 
HIKQU XYZVW 

VWXYZ LMEPA 

und dieses als Torus geschlossen gedacht. Stehen nun die beiden Buchstaben 
eines Bigramms in ein und der selben Zeile bzw. Spalte, so nimmt man für 
jeden den rechten bzw. unteren Nachbarn, im linken Beispiel 
am 1 — LE bzw. tx 1 —> DL 

Ist das aber nicht so, so nimmt man statt des ersten Buchstabens den in der 
selben Zeile, aber in der Spalte des zweiten Buchstabens liegenden und statt 
des zweiten Buchstabens den in der selben Zeile, aber in der Spalte des ersten 
Buchstabens liegenden Buchstaben (,Überkreuz-Schritt c ) 
ag 1 —» EC 

Durch Einschub von x werden Bigramme mit Doppelzeichen vermieden, 
ba 11 00 n wird durch ba lx lo on ; le ss se ve n wird durch le sx sx se ve n 
ersetzt. Matteo Argenti s Rat, Buchstabenverdopplungen zu unterdrücken, 
war vergessen. Der PLAYFAIR-Chiffrierschritt besticht jedoch ob seiner Ein¬ 
fachheit. Seine kombinatorische Komplexität ist allerdings wegen der Torus¬ 
symmetrie sogar kleiner als die einer einfachen Substitution. 

Im obigen dritten Fall kann das Play fair-Verfahren gedeutet werden als Zu¬ 
sammensetzung von Abbildungen: Einer Abbildung des Urtextzeichenpaars 
in ein Paar von Zeilen- und Spaltenkoordinaten, einer Permutation der Spal- 
ten-Koordinaten und einer Rückübersetzung in ein Urtextpaar (ähnlich einem 
Schüttelreim, s. 6.1.2) 

a g 
12 35 

x 

15 32 
E C 


2 Wheatstone benutzte ursprünglich Alphabete, die nach der in 3.2.5 geschilderten Art 
besser durchmischt waren, und auch rechteckige Anordnungen. Diese wichtigen Sicher¬ 
heitsmaßnahmen fielen jedoch bald unter den Tisch. 



4.2 Spezialfälle von Playfair und Delastelle: Tomographische Verfahren 67 


^tu r } 

\ *■**$*' 

*+ * J f 

\ + * * * * 1 

u tr x r *' ; 

/ jr J - 

1-_____-— 

* / Js -tfiMÄU, tv ritt, .lAnt, C^£tf m* ~. 

tri" 4*t (5^ 

^■nr IjrtW» xm*xAt*+-xmXj%/ 

V / «1 ■ .^y 4^Ä*«^ Stvf 4 J t/s* 4,,t 

/ *Vi m 6rt< ■ y .v^a ^!f 

'rfif- 4m 4* AtC€4*j+44Li f£{} 

^Af/r/’ vyfJi/ 

y* /^ rf *V^ 

*v| -»;<* jv-twV*(r*n n^tA^Jtri fiflfit -■ 4 


. # rf «f/,‘ /r r rj,trif.ru£4 A/ /«V -\ 

^ ^ . 

/ *€> v 

* * ^ « jf ^ 1 

j v > * ^ * y «^ * ' 

a * ^ £ r G' 0 A, I 

<£*+*, *ft£ritf /^ÄruoW ^1 r i£( 

ar W *5yWf y«/ J**«*f*A fAMftmufy *jL**jU' 


'fcy U M-t ^Csr^uu /*_ zü?^ 

Jf < '' ^ 

< ^ ^ vy k u 9 


** *> P f ms &* * *i tw e V ^ 

£? j£>jC^+ - 


Ahl). 33. Beschreibung des sogenannten Playfair-Verfahrens, 
signiert von Charles Wheatstone , 26. März 1854 
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Solche Zusammensetzungen von Chiffrierungen, die auf eine Zerlegung und 
Wiederzusammensetzung hinauslaufen, heißen tomographische Verfahren 
(engl, fractionating ciphers , frz. chiffres d damiers , Auguste L.A.Collon 
1899), wir werden auf sie in 9.4.4 zurückkommen. 

4 . 2.2 Ein modifiziertes Play fair-Verfahren wurde im Heer und im SD ab 
Mitte 1941 als „Handschlüssel“ verwendet — und von den Briten unter 
Brigadier John H. Tiltman (f 1984) bis Herbst 1944 regelmäßig gebrochen. 
Genannt ,Doppelkas[set]tenverfahren‘ oder auch ,2-Tafel-PLAYFAHT (engl. 
double casket, double PLAYFAIR), gebrauchte es (etwa unter Wegfall des J) 
zwei verschiedene 5x5-Quadrate, beispielsweise 

AYKIH YXUHA 

LBMNP TRKBI 

QRCOG PMCGS 

ZXVDS FDLQV 

FWUTE ENOWZ 

die nicht nach einem Kennwort, sondern „zufällig“ gebildet und dann verteilt 
worden waren. Chiffrierschritte wie 

ah i —> AY , nr i — > KP , nb ^ ip 

treten auf, wenn Klartextzeichen in der selben Zeile stehen, sonst wird ein 
Überkreuz-Schritt 

xe i > FW , or i — > MN , bx i—► RY 
verwendet. Der Klartext wurde überdies in Gruppen einer vorgegebenen 
Länge, üblicherweise 17, zerschnitten: die Nachricht (JVoel Currer-Briggs ) 

anxobergruppenfuehrerxvonxdemxbachxkiewxbittexdreixtausendxschuss 

xpatronenxschickenstop 

mit /x/ für den (nicht unterdrückten!) Wort Zwischenraum wurde in Zeilen 
von 17 Zeichen zerlegt und je zwei Zeilen wie folgt in Zeichenpaaren chiffriert 

anxober gruppenfue 
hr e rxvo nxdemxbach 

AKFMRZCMMNTRNI ZOW 
YPWNYSWEYVEGHPACH USW., 

Die Prozedur wurde einmal wiederholt: ay i—► XY , kp YC , fw i—> ZW , ... 
dies ergab, abgeteilt in Fünfergruppen, den schließlichen Geheimtext 
XYYCZ WRUPY VQGUT UTKID ... . 

Das Verfahren war, wie das klassische PLAYFAIR, mühsam und fehleran¬ 
fällig; von den zahlreichen Rückfragen und Kompromittierungen, die den 
nachlässigen Deutschen unterliefen, profitierten die Briten ebenso wie von 
der preußischen Vorliebe, 4 methodical and courteous ’ zu sein und in Titeln 
und anderen Formalitäten zu schwelgen. 

4 . 2.3 Ein tomographisches Verfahren in Reinkultur 3 wurde 1901 von Felix 
Marie Delastelle angegeben: Eine bipartite Chiffre, dann eine Transposition 
über vier Plätze, dann eine Rückübersetzung einer bipartiten Chiffre, etwa 

3 Kahn : “while searching for a method of digraphic encipherment that did not require 
cumbersome 26x26 enciphering tables”. 
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D 

X 


Der Chiffrierschritt ist involutorisch und ergibt eine bipartite Bigramm-Sub- 
stitution, ähnlich der in 4.1.2. Für die Rückübersetzung kann auch ein ande¬ 
rer, konjugierter Chiffrierschritt verwendet werden. 

Vor einer complication illusoire muß gewarnt werden: Eine bloße Verschie¬ 
bung um eine Stelle, ein ,Kulissenverfahren‘ (Rohrbach 1948) bringt nicht 
den erwarteten Effekt: 

... a b s a 1 o m ... 

3211151214112423 
HBEODBCX 
Der unbefugte Entzifferer braucht gar nicht das Quadrat zu rekonstruieren: 
Er betrachtet die Chiffre als V V 2 mit Homophonen 

O (B B ^ (B CB 

U O A O F O 

ah> H > X < R , bh> G > X < R , sh> K > X < R , . . . 

MD L D Q D 

tJ Ie sJ l e zj l e 

unter der Nebenbedingung des Überlappens: 

a b s a 1 o m i-+- HB^BE^EO^OD^DB^BC^CX . 

Dies eröffnet eine unerwartete Angriffsmöglichkeit. 

Frühe Beispiele eines tomographischer Verfahrens finden sich bei Pliny Earle 
Chase (1859), s. 9.5.4 und Alexis Koehl (1876), s. 9.4.5 . 

4.3 Der Fall V 3 —H/( m ) von Trigramm-Substitutionen 

4 . 3.1 Trigramm-Substitution in voller Allgemeinheit bereitet bereits rein 
technisch Schwierigkeiten: Papier ist leider nicht dreidimensional, so daß die 
Auflistung der Trigramme schwieriger wird, und 26 3 = 17576 Trigramme 
sind eine beträchtliche Anzahl. Trigramm-Substitutionen sind schwerfällig 
zu mechanisieren. Spezielle Trigramm-Permutationen ä la PLAYFAIR wa¬ 
ren nicht sonderlich erfolgreich, ein Graf Luigi Gioppi di Türkheim gab 
1897 ein solches System an. Friedman beschäftigte sich um 1920 ebenfalls 
mit Trigramm-Permutationen. Jack Levine studierte 1958 Methoden zur 
Trigramm-Chiffrierung, die aber nicht veröffentlicht wurden. Lineare Sub¬ 
stitutionen (Kapitel 5) zur zur Trigramm-Chiffrierung heranzuziehen, wie es 
Levine 1963 tat, ist ein naheliegender Gedanke. 

4 . 3.2 Eine Chiffriermaschine, die mechanisch eine quadrupartite tetragra¬ 
phische Substitution durchführt, wurde 1922 für einen gewissen Henkels pa¬ 
tentiert. 




70 4 Chiffrierschritte: Polygraphische Substitution und Codierung 


4.4 Der allgemeine Fall V^ W : Codes 

Vorteilhafter, als bis zu 26 3 =17576 Trigramme zu chiffrieren, ist es allemal, 
einige Hundert, Tausend oder mehr häufig vorkommende Elemente von V^ 
(mit ziemlich großem n) zu chiffrieren mit der Maßgabe, daß jeder Chiffrier¬ 
schritt auf einer Teilmenge C von V ^ operiert 4 . Voraussetzung ist, daß 
jedes x £ V* irgendwie in Elemente aus C zerlegt werden kann: 

x — x\*X 2 *xs*.. .*Xk (für geeignetes k C \N und passende Xj G C C V^) , 
und daß die ,Einzelbuchstaben-Bedingung‘ VC C beachtet wird, sodaß aus¬ 
gefallene Wörter, einschließlich solcher aus Fachsprachen der Biologie und 
Chemie und Namen von Personen, Orten, Flüssen und Bergen, wenigstens 
buchstabenweise chiffriert werden können. Die Idee ist selbstverständlich 
nicht, jedes Wort in Einzelbuchstaben aufzulösen, sondern erst im Code¬ 
buch zu suchen, und auch nicht jeden Satz in Wörter aufzuspalten, sondern 
möglichst ganze Phrasen zu suchen — im Gegenteil, je länger der gefundene 
Teiltext, desto besser; umso kürzer ist dann auch die codierte Nachricht. Im 
übrigen kann auch eine dieser Forderung entsprechende, disziplinierte Codie¬ 
rung immer noch homophonisch ausfallen, aber diese freie Wahl stört nicht. 

Codierdisziplin zu halten, ist jedoch schwierig. So mußte 1918 das Kom¬ 
mando der American Expeditionary Force mahnen, daß statt boche , mit 5 
Codegruppen buchstabiert, besser German mit einer einzigen Codegruppe 
zu wählen sei und daß statt 18 Codegruppen für almost before the crack 
of dawn lediglich zwei Codegruppen für day break benötigt werden. Die 
Verwendung von Codes erfordert Intelligenz, und ihr mangelnder Gebrauch 
erleichtert dem unbefugten Entzifferer das Eindringen. Wenn geeignetes Per¬ 
sonal fehlt, ist es besser, keine Codes zu gebrauchen. Im ersten Weltkrieg 
erwarb sich ein Leutnant Jäger vom Stab der 5. Armee große Verdienste um 
die gegnerische Seite, als er seine Anweisungen zur ,Schlüsseldisziplin‘ stets 
mit seinem buchstabierten Namen als letztes Wort versah und sie so funken 
ließ. “He was beloved by his adversaries because he kept them up with code 
changes,” schreibt Kahn. 1918 gefährdete Jäger sowohl die Überchiffrierung 
mit der Geheimklappe als auch das neue Codebuch, das Schlüsselheft. 

Der Mangel an Codierdisziplin war auf der amerikanischen Seite im 1. Welt¬ 
krieg eher noch schlimmer, nach Feststellungen von Major Frank Moorman , 
dem dafür verantwortlichen Chef von G.2A.6. Kahn erklärt dies mit dem 
“well-known American disregard for regulations especially ones as per- 
snickety as these”. 

Im 2. Weltkrieg besserte sich die Lage geringfügig. Kryptographische Kon- 
trollofhziere wurden den Hauptquartieren zugeteilt. Aber da waren noch 
die Diplomaten. Der negative Held ist Roosevelts Sonderbotschafter Robert 
Murphy , der aus Prestigegründen darauf bestand, einen diplomatischen Code 


4 


Ein solches Chiffrierschritt-System wird nach Kahn Codierung genannt, wenn die Wahl 
von C linguistisch bestimmt ist: häufige Diphtonge, Silben, Wörter, Phrasen. 
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zu verwenden; durch die stereotypen Anfänge u For Murphy 77 oder u From 
Murphy v machte er es Rohrbachs Gruppe im Auswärtigen Amt leicht, den 
Code zu brechen. Fräulein Asta Friedrichs , die daran beteiligt war, sagte, 
als sie, in Marburg interniert, ihn vorbeifahren sah: „Ich wollte ihn anhalten 
und ihm die Hand schütteln, so viel hatte er für uns getan“. 

4 . 4.1 Vom Abendland her gesehen, sind die ältesten Codierungen — von den 
Chinesen nicht als solche empfunden die chinesischen Ideogramme. Im¬ 
merhin erklärt man das Fehlen kryptologischer Errungenschaften in der alten 
Hochkultur Chinas damit, daß geschriebene Nachrichten ohnehin nur für we¬ 
nige lesbar waren. Die Hieroglyphen jedoch bauen 2 000 Jahre v. Chr. — 
auf dem Prinzip des Rebus und der Akrophonie auf: Das Bild eines “rer” 
(Schwein) gibt das Zeichen für den Buchstaben /r/, das Bild einer Schwalbe 
bedeutet sowohl “wr” (Schwalbe) wie auch “wr” (groß); eigene Zeichen (De¬ 
terminative) machten, wenn nötig, den Unterschied klar. Die Hieroglyphen¬ 
schrift ist in starkem Maße eine Codeschrift wenn nötig, kann ein Wort in 
Einkonsonantenzeichen zerlegt werden. Lediglich der Geheimhaltungsaspekt 
fehlt. Aber der fehlt auch, wenn Diplomaten allmählich einen Code auswen¬ 
dig kennen und in der Lage sind, eine Ansprache aus dem Stegreif in diesem 
Code zu halten, wie der amerikanische Botschafter in Shanghai, dem dies in 
den zwanziger Jahren auf seinem Abschiedsdinner in GRAY (s. 4.4.7) gelang. 
Wo in Ägypten Inschriften mit weniger gebräuchlichen Zeichen Seite an Seite 
mit Klartext zu finden sind, ist keine Geheimhaltung beabsichtigt, ganz im 
Gegenteil: Die pompöse Inschrift (etwa auf einem Grabdenkmal) soll be¬ 
eindrucken, soll als Beschwörung geheimnisvoller magischer Kräfte wirken 
(Abb.34). 

<=*>*22l -SrlTSIJ 

Abb. 34. Hieroglypheninschriften in jeweils zwei Fassungen 

Im Westen findet man um 1380 die ersten Mischungen von monographischen 
Substitutionen und Codierungen — zunächst nur für einige sehr häufige Wör¬ 
ter, darunter et (vgl. Abb. 26), con, non , che (vgl. 3.4). Als diese Zusam¬ 
menstellungen etwas umfangreicher wurden, nannte man sie Nomenklato¬ 
ren. Ein frühes Beispiel zeigt Abb. 35. Nomenklatoren behielten während der 
ganzen Renaissance ihre große Bedeutung. König Charles I. von England und 
Schottland benutzte einen Nomenklator mit Homophonen, den 1860 Wheat- 
stone rekonstruierte: /a/ wurde durch 12 .. 17 , /b/ durch 18 .. 19 , usw., 
/france/ durch 9476 wiedergegeben. Um 1600 gab es Nomenklatoren mit 
mehreren Hundert Einträgen, numerische mit dreiziffrigen Codegruppen. 
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Abb. 35. Ein früher Nomenklator aus Florenz, 1554 



Philipp II. von Spanien gab seinem Gesandten Juan de Moreo einen Nomen¬ 
klator, der etwa 400 Codegruppen enthielt. Viete arbeitete vom 28. Oktober 
1589 bis zum 15. März 1590 an der Entzifferung, dann konnte er seinem König 
Henri IV. die komplette Lösung geben. Philipp , der davon erfuhr, beschwerte 
sich beim Papst, daß Henri schwarze Magie verwandt hätte. Der Papst hinge¬ 
gen war besser informiert: Sein treuer Diener G.B. Argenti wußte Bescheid. 

Im Spiel der politischen Intrigen spielten Codes fortan eine Rolle, von Mary 
StuarSs Verurteilung 1587 bis zu den französischen Anarchisten, die im Pro¬ 
zeß von Saint-Etienne 1892 auf Grund von Nachrichten, die Bazeries ent¬ 
ziffert hatte, überführt wurden. 

Ab 1600 haben nicht nur die italienischen Staaten, sondern auch jeder der 
großen europäischen Höfe ihr , Geheimkabinett‘, Cabinet Noir , Black Cham¬ 
ber. Die Fürsten haben bedeutende Kryptologen als Helfer und Vertraute: 
Louis XIV. hatte Antoine Rossignol, die Zarin hatte Christian Goldbach , 
König Charles II. von England und Schottland hatte John Wallis und Maria 
Theresia einen Baron Ignaz de Koch. Diese Leute waren gut bezahlt und 
wußten um ihre Bedeutung. So schreibt David Kahn: 

u Though Waiiis entreated Nottingham not to publicize his Solutions for 
fear France would again change her ciphers , as she had done nine or ten 
times before (probably under the expert Rossignol tutelage), word of his 
prowess somehow spread. The King of Prussia gave him a gold chain for 
solving a cryptogram, and the Elector of Brandenburg a medal for reading 
200 or 300 sheets of cipher. The Elector of Hanover, not wanting to depend 
on a foreign cryptanalyst , got Wallis 7 fellow intellectual , Baron Gottfried 
von Leibnitz , to importune him with lucrative offers to instruct several 
young men in the art. When Wallis put off Leibnitz 7 query as to how he did 
these amazing things by saying that there was no ßxed method , Leibnitz 
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quickly acknowledged it and, hinting that Wallis and the art might die 
together, pressed his request that he instruct some younger people in it. 
Wallis hnally had to say bluntly that he would be glad to serve the elector 
if need be, but he could not send his skill abroad without the king’s leaveF 


Christian Goldbach (1690-1764), ab 1742 Staatsrat im russischen Außenmi¬ 
nisterium, entzifferte einen Brief des französischen Botschafters mit uner¬ 
freulichen Bemerkungen über die regierende Zarin Jelisaweta Petrowna, die 
Tochter Peters des Großen. 


Manchmal kamen auch Mißerfolge vor, so wenn unter de Koch ein Brief an 
den Herzog von Modena irrigerweise mit dem Siegel des Herzogs von Parma 
wieder verschlossen wurde. Aber immerhin las die Kaiserliche Geheime Kabi¬ 
netts-Kanzlei noch Napoleons und Talleyrands Korrespondenz. 

Auch in der Neuen Welt wurde Kryptologie bedeutsam: George Washington 
hatte die Hilfe zweier Agenten, Sam Woodhull und Robert Townsend , die die 
Decknamen CULPER SR. und CULPER JR. führten. Sie benutzten 1779 
einen Nomenklator mit ungefähr 800 Einträgen, der von Major Benjamin 
Tallmadge aufgestellt war. Auch Thomas Jefferson stellte 1785 als Gesandter 
in Paris einen Nomenklator für den späteren Präsidenten James Madison auf 
(Abb.36). 
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Abb. 36. Nomenklator, 1785 von Jefferson für Madison gefertigt 


4.4.2 Der oben erwähnte Antoine Rossignol (1600-1682) brachte um 1630 
einen bedeutenden Fortschritt. Abgesehen von den frühesten Beispielen wa¬ 
ren alle Nomenklatoren bis dahin ordnungserhaltende Abbildungen der (le- 
xikographisch geordneten) Klartextwörter auf die (lexikographisch geordne¬ 
ten) Codegruppen. Damit war es möglich, im praktischen Gebrauch mit 
einer Aufstellung auszukommen — man konnte sowohl Klartextwörter wie 
Codegruppen in der lexikographischen Ordnung durchmustern. 

Dieses System hatte jedoch einen großen Nachteil: War auch nur für eine 
Codegruppe das Klartextwort bekannt, so konnte jede Codegruppe, die da¬ 
hinter lag, nur ein Klartextwort bedeuten, das ebenfalls dahinter lag. Mit 
mehreren erkannten Codegruppen läßt sich so eine Feineinteilung erreichen. 
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Erstaunlich ist nur, daß noch während des 1. Weltkriegs dieses anfällige Sy¬ 
stem eines einteiligen Codes (engl, one-part code, one-part nomenclator , 
frz. dictionaire ä table unique) Verwendung fand. So bedeutete im GREEN 
Code des U.S. State Department (die Codegruppen sind vom Typ CVCVC , 
wo C ein Konsonant, V ein Vokal ist, mit 20 3 • 6 2 = 288 000 Möglichkeiten) 
FYTIG department MIHAk message PEDEK secured 

Ein ,Signalbuch‘ der deutschen Kaiserlichen Marine, das an Bord des deut¬ 
schen Kreuzers Magdeburg im August 1914 erbeutet wurde, war einteilig und 
enthielt sowohl Zifferngruppen als auch Buchstabengruppen, wie nachfolgen¬ 
der Ausschnitt zeigt 


63940 

OAT 

Ohnmacht, -ig 

63941 

OAU 

Ohr, Ohren- 

63942 

OAÜ 

Okkupation, Okkupations, -ieren 

63943 

OAV 

Ökonomie, -isch 

63944 

OAW 

Oktant 


Rossignol führte nun gründlich durchmischte Codes ein, wobei man allerdings 
zur Entzifferung auch eine alphabetisch geordnete Aufstellung der Code¬ 
gruppen brauchte (zweiteiliger Code, engl, two-part code , two-part 
nomenclator , frz. dictionaire ä table double, dictionaire ä deux tables). Jef- 
fersons Nomenklator gehört dazu. Ein modernes Beispiel mit Homophonen 
aus dem militärischen Bereich wäre in Ausschnitten 


flap 

XYMAS 



RATPA 

ship 


TIBAL 



RATPE 

quite 

flapjack 

UPTON 



RATPI 

enough 

flapper 

UPABS 



RATPO 

happy 

flare 

OHPAP 



RATPU 

loxodromic 

wobei für ein so häufiges Wort wie 

army 

fünf Homophone verfügbar sind: 


TORMA, 

RAFEM, LABAR, 

ROMUF, IBEXO . 

Ein Auszug 

aus einem um 1944 verwendeten deutschen 

,Satzbuch 1 könnte so 

ausgesehen 

haben: 





a 

0809 

XCL 


b 

1479 MLA 

Abend 

8435 

PUV 


Bad 

1918 TID 

aber 

7463 

NAS 


bald 

1492 LGD 

acht 

6397 

DXL 




Achtung 

1735 

APS 


z 

2467 VBH 

an 

7958 

EVG 




auf 

6734 

UNO 





Zyklotron 5116 JLD 


Das ,Kurzsignalheft‘ der deutschen Kriegsmarine (ab Sommer 1941) dagegen 
enthielt Codewörter für stereotype Befehle (engl, caption code ) wie: 

AAAA Beabsichtige gemeldete Feindstreitkräfte anzugreifen 

AAEE Beabsichtige Durchführung Unternehmung wie vorgesehen 

AAFF Beabsichtige Durchführung Unternehmung mit vollem Einsatz 
AAGG Beabsichtige Durchführung Unternehmung unter Vermeidung 
vollen Einsatzes 



4-4 Der allgemeine Fall V^ 


R 7 ^ : Codes 75 


Der ,Wetterkurzschlüssel 4 der Kriegsmarine codierte u.a. Lufttemperaturen 
sogar polyphon durch einbuchstabige Codegruppen (x fehlte!): 

A= +28° B= +27° C— +26° D== +25° ... W= +6° Y= +5° Z= +4° 
A = +3° B = +2° C= +1° D= 0° E = -1° F= -2° ... Z=-21° 

Auch Wassertemperatur, Luftdruck, Windrichtung, Windstärke, Sichtbar¬ 
keit, Bewölkungsgrad, geographische Breite und geographische Länge wurden 
in einer vorgeschriebenen Reihenfolge solcherart codiert; eine Wettermeldung 
bestand aus einem einzigen kurzen Wort — das war fast Klartext und führte 
bei Überchiffrierung zu Klartext-Geheimtext-Kompromittierungen. 


4 . 4.3 Um 1700 hatten die Nomenklatoren 2 000 bis 3 000 Einträge, und sie 
wuchsen weiter an, obwohl die zweiteiligen Codebücher mehr Platz brauch¬ 
ten. Moderne Codes mit Homophonen und Polyphonen zeigen Abb. 37, 38. 


Sherstael 

- 51648 c...Sher8hel 

- 07510 b... Shetland Islands 

- 18855 b....S hetland Mainland 

- 43026 c...Shetlands 

- 53038 4...Shiant Islands 

- 04216 c...Shield— 

- 35998 c...Shielday 

- 43144 B...Shielded 

- 35732 B....Shielded by 

- 10726 B....Shieldedfrom 

- 53124 c...Shielding 

- 06656 b...S hields— for—of 

- 17848 B... .Shields, North 

- 41802 a... .Shields, South 

- 28814 <?...Shift-s 


268 

A 10569 b "| 

B 53472 c V Ship is 
c 03917 AJ 

- 35613 A... .Ship is not 

- 50968 c... .Ship is not to 

- 06679 a... .Ship is not to be 

- 18641 c....Ship is now —at 

- 42583 ... Ship is to 

- 10247 4..».Ship is to be 
~ 53180 c ....Ship must 

- 07006 A... . Ship must be 

A 51738 B ] 
ß 41759 c Ship of 
c 10994 c J 


77 


- 07700 B...Spontaneous-ly 

- 07701 B...Sow-s-ing 

- 07703 B. .. Rodd 

- 07704 <?...Vacale-s 

- 07705 b...To what 

- 07707 ^...What time— is— arc 
a 07708 c... Hörnet, H.M.S. 

h 07708 ^...Ref erring 
(•’ 07708 B...Wednesday 

- 07709 .4...Send-s mails for 

- 07710 c..: Worth 

- 07712 B...Riddled by (with) 

.4 07713 ^...Smoke-s-yhwi — of 
h 07713 B...WI11 be 

07713 C...13th April 

- 07714 ^...Tsu Sima 


- 07750 ^...Dummy group 

- 07751 ^...Recurrences— of 

- 07752 B... Report when she 

- 07754 »•!... Rush-es-ing 

- 07755 o\..Purjx>se of 

- 07756 <?...\Yithdrawn from 

- 07758 B...Sheep 

a 07759 c\..l2th April 
B 07759 »4...\Va> no-t 
c 07759 B...In eonvoy 

- 07760 <7...She could 

- 07761 >*...Tiiat every 

- 07763 ^...Suien Isles 
A 07764 C...13cgins 

b 07764 b...S pell word of 13Ietters 
c 07764 .4...Ackno\vIedge 


Abb. 37. Je eine Seite des homophonen Ver- und des polyphonen Entzifferungsteils 
des ‘SA Cipher’der britischen Admiralität (1918) 


Die Geheimkabinette wurden in Europa erst in der Mitte des 19. Jahrhunderts 
aufgelöst und damit auch das verstohlene Mitlesen diplomatischer Post be¬ 
endet: 1844 in England, 1848 in Wien und Paris. Die Aufklärung hatte 
gesiegt. Die industrielle Revolution brachte aber den Telegraphen und damit 
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Rt ff* Jt rfft B 


20463 

408)1 

86-660 

frtfvdWU 

#f, fttf 

14806 

71731 

17487 

2F&P» F> 

37748 

84113 

51375 


04067 

12751 

44135 

GF 

71631 

13885 

84141 


33232 

07044 

12682 


58361 

-06217 

41267 

GFp 

tr 

tt 

57452 

41618 

14710 


7470616? 
26430[6Ff 
70258! « 

23623 

07384 

84078 

GFgUfi 

GFglE 

74807 

31614 

42007 

3F 

3Fp 

ft 

16240 

38351 

74770 

6F* 

6F$ 

75220 

0653? 

77614 

GF*p 

GF 

GF#p % f> 

55380 

05271 

18517 

3 F SÜSS 

3F&UC 

53735 

44182 

77036 

6F^ 

6 F 4 

73085 

81754 

77515 

GFHtjg$|S@t 

GFrfrJS&itf*B 

GF 

33472 

17023 

20708 

*F4HteK«H 
3F&p, l> 

30544 

73773 

33782 

6Fp 

55433 

71675 

57247 

GF {«*£*) 

GF(OKFK) 

GF£P(GXFKJ: 

63006 

31558 

60465 


20700 

54678 

27424 

7F 

47520 

75332 

54463 


77577 

34511 

27057 

4F 

70670 

33755 

768271 

7 Ff 

tt 

7F* 

45532 

1S % 1F 

15227 

4Fp 

S7 050 

7 F^ 


Abb. 38 Ausschnitt aus dem Dechiffrierungsteil 
eines japanischen Marine-Codes (1943) 


kommerzielle Codebücher, deren Hauptaufgabe es war, die Telegramme zu 
komprimieren und damit den Zeitaufwand und die Kosten zu senken. 

Francis 0. J. Smith veröffentlichte 1845 einen Code u The Secret Correspon- 
ding Vocabulary. Adapted for Use to Morse’s Electro-Mechanic Telegraph” — 
noch bevor das Morse-Alphabet eingeführt wurde. Smith hatte 50 000 Grup¬ 
pen, und nur 67 Sätze. Seine Codegruppen waren aus Ziffern aufgebaut 
und sollten (s. 9.2) Überchiffrierung erlauben. Später ging man zu Code¬ 
gruppen aus Buchstaben, hauptsächlich Fünfergruppen, über; die Zahl der 
Sätze stieg in die Hunderte, die Zahl der Gruppen bis zu 100 000. Wegen 
des großen Umfangs benutzte man jedoch wieder einteilige Codes, und zwar 
nun auch im diplomatischen Dienst, wo es auf Geheimhaltung ankam, und 
in militärischen Stäben. Dadurch gewannen jedoch die echten Chiffrierungen 
als Überchiffrierungen mehr und mehr an Bedeutung. 

Hunderte kommerzieller Codes entstanden nach und nach, einer von Henry 
Rogers 1847, von John Wills ebenfalls 1847, dann 1874, acht Jahre nach 
der Fertigstellung des transatlantischen Kabels, der ABC-Code von Wil¬ 
liam Clausen-Thue , ein Fünf-Buchstaben-Code. Andere Fünf-Buchstaben- 
Codes wurden von Bolton (Dictionnaire pour la Correspondance Anglais ), 
von Krohn in Berlin (1873) und von Walter in Winterthur (1877) verbreitet. 
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Ein Vier-Buchstaben-Code wurde 1889 von Kätscher in Leipzig publiziert, ein 
Drei-Buchstaben-Code 1874 von Mamert-Gallian in Paris. Andere berühmte 
Namen von Codeerstellern sind John Charles Hartßeld (1877) und sein Sohn 
John William Hartßeld (1890), Henry Harvey (1878), Benjamin Franklin Lie¬ 
ber in U.S.A.; letzterer verfaßte ein Codebuch mit 75800 Codegruppen, das 
auch ins Französische und ins Deutsche übersetzt wurde. Sogar ein Sieben- 
Buchstaben-Code wurde publiziert, der Ingenieur-Code von Galland. 

Das Bestreben war hauptsächlich, die Telegraphierkosten zu senken ( Mercan- 
tile Cypher for Condensing Telegrams, Buell 1860). Dies betraf insbesondere 
den transatlantischen Verkehr. 

Innerhalb Europa bevorzugte man, wenn eine kryptographische Absicht vor¬ 
lag, die Ziffern-Codes, die einfache Uberschlüsselung erlaubten. Weit verbrei¬ 
tetes Vorbild eines Vier-Ziffern-Codes war das Dictionnaire abreviatif chiffre 
von F. J. Sittler in Paris (1868) Frankreich, daneben das Dictionnaire pour 
la Correspondance telegraphique secrete von Brunswick in Paris (1868) und 
der Dictionnaire chiffre von Nilac. Bazeries (1893) wie auch de Viaris pro¬ 
duzierten Codes; andere Vier-Ziffern-Codes waren das Dizionario per corri- 
spondenze in cifra von Baravelli in Torino (1896), das Chiffrier-Wörterbuch 
von Friedmann in Berlin, und das Chiffrierbuch von Steiner & Stern in Wien 
(1892). 

4 . 4.4 Die Tarifpolitik der Internationalen Telegraphen-Union (vgl. 2.5.4) 
führte ab 1890 zum Aufkommen von Fünf-Ziffern-Codes. Schon 1850 hatte 
Brächet in Paris ein Dictionnaire chiffre herausgebracht, andere waren Dic- 
cionario para la correspondencia secreta von Vaz Subtil in Lisbon (1871), 
Wörterbuch von Niethe in Berlin (1877) und Dictionnaire pour la Corre¬ 
spondance secrete von N. C. Louis in Paris (1881). Unter den späteren Co¬ 
debüchern sind zu nennen das Dictionnaire chiffre Diplomatique et Com- 
mercial von Airenti und der Telescand Code in Frankreich, das Diccionario 
Cryptographico in Lissabon (1892), das Nuovo Cifrario von Mengarini in 
Rom (1898), das Cifrario per la corrispendenza segreta von Cicero in Rom 
(1899), Slater’s Code von Slater in London (1906) und das Clave telegrafica 
von Darhan in Madrid (1912). 

4 . 4.5 Im 20. Jahrhundert boten viele Codebücher sowohl Zifferngruppen wie 
Buchstabengruppen. Bis vor kurzem noch vielbenutzte Codes sind Bentley’s 
(seit 1922), Rudolf Mosse Code (seit 1922), ABC 6 th edition (seit 1925) sowie 
Peterson’s Code 3 rd edition von Ernest F. Peterson , Acme Code von William 
J. Mitchel, Lombard Code und AZ Code. Das umfangreichste Codebuch, das 
je in allgemeinen Gebrauch kam, wurde von Cyrus Tibbals für den Western 
Union Code zusammengestellt; es enthielt 379 300 Einträge, während der 
ABC Code nur 103 000 hatte. 

Im Zweiten Weltkrieg benutzten die Allierten den BAMS Code (‘Broadcast¬ 
ing for Allied Merchant Ships 7 ), dessen Geheimhaltung weithin durchlöchert 
war, als Basis einer Uberchiffrierung. Klartext wäre nicht schlimmer gewesen. 
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Der B-Dienst der deutschen Kriegsmarine hatte bis 1943 leichtes Spiel, 
die Bigramm-Überchiffrierung (4.1.2) der alliierten Funksprüche zu brechen. 

Lange Jahre wurde in Notizbüchern ein „Internationaler Hotel-Telegraphen¬ 
schlüssel für Zimmerbestellung“ abgedruckt, mit Codegruppen wie 

ALBA für ,1 Zimmer mit 1 Bett 6 , ARAB für ,1 Zimmer mit 2 Betten 6 , 

ABEC für ,1 Zimmer mit 3 Betten 6 , BELAß für ,2 Zimmer mit je 1 Bett 6 , 

BIRAC für ,2 Zimmer mit 3 Betten 6 , BANAD für ,2 Zimmer mit 4 Betten 6 , 

CIROC für ,3 Zimmer mit 3 Betten 6 , CARID für ,3 Zimmer mit 4 Betten 6 , 

CALDE für ,3 Zimmer mit 5 Betten 6 usw. 

Der Marconi-Code von James C. H. Macbeth ist mehrsprachig (9 Sprachen in 
4 Bänden), einen Traum von Athanasius Kircher verwirklichend (Abb.39). 

4.4.6 1880 führte J. C. Hartüeld für Prüfzwecke die Zwei-Zeichen-Differenz 
der Codegruppen ( 6 two-character differential’) ein. Für ein 27-Zeichen-Alpha¬ 
bet (unter Einschluß des Zwischenraums) verbleiben bei Fünf-Buchstaben- 
Codes von 27 5 = 14348 907 Möglichkeiten noch 27 4 = 531441, immer noch 
eine beträchtliche Anzahl. 1925 führt Mitchel auch die Sicherung gegen Zwei- 
Zeichen-Transposition durch ,Dreher 6 (lieber — leiber) ein, was im vorliegen¬ 
den Beispiel die Möglichkeiten nach Rudolf SchaufHer lediglich auf 440051 
reduziert. Mitchel’s Idee der 6 adjacent-letter restriction’ verbreitete sich dem¬ 
entsprechend rasch. 

Die japanischen Marinecodes mit den amerikanischen Bezeichnungen JN-25A 
(ab 1.6.1939), JN-25B (ab 1.12.1940) benutzten fünfstellige Zahlen, die durch 
3 teilbar waren. Diese Codes waren Vorläufer der fehlererkennenden und 
fehlerkorrigierenden Codes, die Richard W. Hamming 1950 einführte und die 
heute in den Strichcodes der Europäischen Artikel-Nummer (Gewichte ab¬ 
wechselnd 1 und 3, teilbar durch 10) oder in der ISBN-Numerierung (Gewich¬ 
te der Reihe nach 10, 9, 8, ..., 2, 1; teilbar durch 11) allgegenwärtig sind. 

4.4.7 Im Gegensatz zu kommerziellen Codebüchern, die (gegen Bezahlung) 
allgemein zugänglich waren und damit eine möglichst lange Lebensdauer hat¬ 
ten, sollten diplomatische und militärische Codes auf geplante Veralterung 
(2.1.1) angelegt sein und wechselten dementsprechend häufig. Sie aufzulisten 
ist jedenfalls unmöglich, obschon Sparsamkeit und Faulheit dem genügend 
raschen Wechsel oft entgegenstanden. U.S.-amerikanische diplomatische Co¬ 
des, die allzulange in Gebrauch waren, sind RED und BLUE (vor 1914), 
beide Fünf-Ziffern-Codes, und GREEN (ab etwa 1914 bis etwa 1919), eben¬ 
falls fünfziffrig. Um 1920 kam dann der schon in 4.4.1 erwähnte GRAY Code, 
von dem noch unter Roosevelt 1941 Gebrauch gemacht wurde. Franklin De- 
lano Roosevelt sandte am 6. Dezember 1941 eine Notiz an Cordeil Hüll , den 
Außenminister u Dear Cordeil Shoot this to Grew [der amerikanische Bot¬ 
schafter in Tokio] - I think can go in gray Code - saves time - I don ’t mind if 
it gets picked up FDR”. Unter dem sicherheitsbewußten Roosevelt war schon 
Mitte der dreißiger Jahre der zweiteilige BROWN Code eingeführt worden; 
der mißtrauische Staatsmann benützte trotzdem ab 1939 Kryptosysteme des 
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10140 

UVVIM 

aUckncaa. 

10141 

CVVOSf 

SUg(s). 

19142 

UVWEO 

SUnder(i). 

19143 

UVWUP 

alanJerotl. 

19144 

UVWYR 

akndaring. 

19143 

UVY11S 

•landorou*. 

19146 

UVYCT 

Skte(s). 

19147 

UVYDU 

Sleeper(a). 

1914S 

UVYFY 

Skeve-valre. 

19149 

UVYMZ 

Sliile(a). 

10150 

UVYUM 

aliUe-vulvo, 

19151 

UVYVN 

aliilitig. 

10151 

UVYWO 

•litling acute. 

19153 

UVYZP 

Slight, 

10154 

uvzim 

•lightaat. 

19153 

UVZYS 

not tho *tighta*t. 


M. N. O. P. R. S. T. U. Y. r. 
0 123456789 

rallcfcamtoi. 

Scorit(i). 

Diffame{r), di#Um»tion. 
difftm*. 
diffanunt. 

«JüUiulom, 

Ardoist(s). 

Tr«vem(i} (chrmin* de Irr). 
Soupape k manchon. 

Gliue(r), xl«»i4rr(>). 
tkuir de diulribulioB. 
fÜHserU, k rualimc. 

tcbcHa mobil*. 

Llger, |*y important. 

Ir (U) Muiniirr. 

|«* *r (In) ttMiltullv. 


ftojedad, drwvido. 

Eacoria(s). 

CaJumnia(r), ralu»nij(«). 
cattu&niado. 
rtluiBBuudo. 
calamakao. 

Püarrai«). 

Travie*a(»), «Iursiirnb» (l.e.y 
Vürula de manguito. 

ReibaJa(r), «•rirtlcra(a). 
v41 v*l* de tli*trih«cita, de oormlcr». 
mlaksdc, mkbmeslo, dinliza» 
miento. 

«acal* ttdvil. 

Liptro, lew. 

■ bi mhU li/rm, leer, 
im Ih iniU niliiiiuii. 


10140 

UWIM 

»kekncM, 

10141 

uvvox 

SUg(f). 

19142 

UVWEO 

Slander(c). 

19143 

UVWUP 

•knJercU. 

19144 

UVWYR 

aknekring. 

19143 

UVYBS 

«landorou*. 

19146 

UVYCT 

Skte(s). 

19147 

UVYDU 

Slecpcf(t). 

1014S 

UVYFY 

Skcvc-valre, 

19149 

UVYMZ 

äiitle(s). 

10150 

UVYUM 

alide-vulvo. 

19151 

UYYVK 

•kling. 

10152 

UVYWO 

«litling acute. 

19153 

UVYZP 

Sli^bt. 

10154 

UVZUR 

•lightaat. 

19155 

UVZYS 

not tho «lightaat. 


M. H. 0 . P. R. S. T. ü. Y. 2 . 
0123456710 
Schlaffheit, GeachÄftaatülo, 

Sehlacke(n). 

Verlcumdeii(-e.-t), Verlouimlimg(oti). 
verleumdet, 
vcrlcuiruiond. 
vcrleumdoriech. 

Schiefer, Schtefertafel(n). 
(Balm-)ScLwclk(n). 

MuffenvcntlL 

Gleiten(-e, -et), Gkitbolmton), GJuit- 
fuhrungtcii). 

Svhicbvrvvnlil, VoutiUchiobcr. 
gleitend. 

ClmUknla. 

Gering, vot» goringer Wichtigkeit, 
geringat. 

nicht daa <dor, die) gering* te. 


•lapltcid, •( ilto. 

Scliuim, alttk(ken). me(**l*chiiim(-»l*kkcn). 
Bebwleren, bcltutor(i), laater. 
belaaterd. 
bolaaterond. 
katerlijk. 

Lei(en). 

Dwa»iigger(s). 

Mofklep. 

Glijden(-t); achuif (achutven). leiboan 
(loikinon), uriitdklep(pen). 

•chuif, stooKMclmif, achuirktop. 
verseil iiifljaar, glijJcml. 
luüibennaat, pnoportiofiecle schiud. 

Cering, onboduidund. 
goringate. 

niot de (Iwt) goringate. 


Abb. 39. Der Marconi-Code: Korrespondierende Buchseiten aus der Englisch- 

Französisch-Spanischen und der Englisch-Deutsch-Niederländischen Ausgabe 


Navy Departments “for matters of utmost secrecy”, wie er es ausdrückte. 
Weitere Codes: A-l, B-l, C-l, D-l hatten Roosevelts Meinung von der Unsi¬ 
cherheit der diplomatischen Codes nicht ändern können. Der BLACK Code 
erschien um 1940. 

Manchmal erleben die Hersteller von Codes Überraschungen: Als die Ame¬ 
rican Expeditionary Force (A.E.F.) 1917 in Frankreich in den 1. Weltkrieg 
eingriff, stellte sich der 1915 herausgegebene War Department Telegraph 
Code ebenso als unsicher wie als unzureichend für taktischen Gebrauch her¬ 
aus. Eiligst wurde von der Code Compilation Subsection des MI-8 im Juli 
1917 mit der Arbeit an einem passenden Code begonnen; nach einem Jahr 
war er am l.Juli 1918 fertig. Der Military Intelligence Code No. 5 war 
nur ein einteiliger Code, mit Zwei-Zeichen-Differenz der Codegruppen vom 
Typ VCVCV, VCCVC oder CVCCV. Obwohl bald darauf ein besserer, zwei¬ 
teiliger Code ( Military Intelligence Code No. 9) verfügbar war, blieb No. 5 
bis 1. September 1934 mit der Klassifikation ‘SECRET’ in Gebrauch, dann 
wurde er mit der Kurzbezeichnung SIGCOT zu ‘CONFIDENTIAL’ abge¬ 
stuft. Gleichermaßen wurde No. 9 , der um 1923 eingezogen worden war, am 
1. April 1933 (zu ‘CONFIDENTIAL’ abgestuft) neu ausgegeben; mit der 
Kurzbezeichnung SIGSYG für den Chiffrier-, SIGPIK für den Dechiffrier- 
Teil. Geldmangel war dafür verantwortlich; aber nicht einmal eine Über¬ 
chiffrierung, die nur Arbeit gekostet hätte, wurde vorgeschrieben. 
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4 . 4.8 Im Bereich der unteren militärischen Gefechtsebene waren Codes mal 
mehr, mal weniger gut angeschrieben. Das kaiserliche Heer ging 1917 von 
den dafür benutzten Drehrastern (s. 6.1.4) zu Codes über. Für den Verkehr 
in der 3-km-Frontzone wurde im März 1917 ein einfacher Bigramm-Code 
00 („Befehlstafel“) eingeführt. Die Franzosen hatten schon 1916 ein carnet 
de chiffre herausgebracht, mit einem Zwei-Ziffern-Code, und bald zu einem 
Drei-Buchstaben-Code carnet reduit , mit Namen wie olive und urbain , aus¬ 
geweitet. Die Codegruppen waren nach Rubriken, wie Infanterie, Artillerie, 
Zahlen, Uhrzeiten, gebräuchliche Wörter, Ortsnamen, Decknamen usw. ein¬ 
geteilt (engl, caption codes). 

Im März 1918 machte das kaiserliche Heer dann den von den Alliierten vor¬ 
ausgesehenen Schritt zu einem überchiffrierten, aber immer noch einteiligen 
Code, einem Drei-Ziffern-Code. Die Überchiffrierung erstreckte sich nur auf 
die ersten beiden Ziffern und geschah mit der „Geheimklappe“ (4.1.2), die 
häufig gewechselt wurde. Die feststehende dritte Ziffer gab der unbefugten 
Entzifferung durch das Auftreten von Mustern eine Einbruchsmöglichkeit. 
Für höhere Ansprüche an Chiffriersicherheit, außerhalb der 3-km-Zone, wur¬ 
de im Juni 1917 ein zweiteiliger Drei-Buchstaben-Code eingeführt („Satz¬ 
buch“). Er wurde nicht überchiffriert; seine kryptanalytische Sicherheit war 
von Anfang an ganz auf geplante Veralterung (etwa 14 Tage) ausgerichtet. 
Er enthielt zahlreiche Homophone (KXL, ROQ, UDZ für „Anschluß fehlt“) und 
Nullen. Er wurde von den Alliierten KRU Code genannt, weil alle Codegrup¬ 
pen mit einem der drei Buchstaben K, R, U begannen, oder auch Fritz Code. 
Später wurden Codegruppen hinzugefügt, die mit S begannen (KRUS Code) 
und weiterhin solche, die mit A begannen (KRUSA Code); schließlich wur¬ 
den die 26 Alphabetzeichen noch durch die Umlaute Ä, Ö, Ü ergänzt (dieser 
Code wurde dummerweise KRUSA Code genannt). Der Waffenstillstand in 
November 1918 beendete diese unfriedliche Epoche der trench codes. Aber 
sie waren noch nicht vergessen. In einem Manual des United States War 
Department von 1944 steht: 

u Cipher machines cannot , as a rule , be carried forward of the larger head- 
quarters, such as Division. Hence , code methods may predominate in the 
lower echelons and troop formations .” 

Man kann das auch so lesen, daß im militärischen Verkehr Codes ohne Über¬ 
chiffrierung nur auf der untersten Stufe der Sicherheit Verwendung finden 
dürfen. In der U.S.Army war deshalb von Friedman als i ßeld cipher’ polyal¬ 
phabetische Chiffrierung mit einem handlichen Gerät, mit der M-94 (s. 7.4.3), 
eingeführt worden. 

Während des Zweiten Weltkriegs genügte auch das in den U.S.A. nicht mehr. 
Boris Hagelin, der im Mai 1940 buchstäblich in letzter Minute von Schwe¬ 
den über Deutschland nach Genua gereist und an Bord der Conte di Savoia 
gegangen war, erreichte die U.S.A. mit zwei seiner Maschinen C-36 (s. 8.5.1) 
im Gepäck und mit Plänen für die Verbesserung C-38. Dort beeindruckte er 
den einflußreichen Friedman so sehr, daß sich das Signal Corps nach einem 
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Abb. 40. C-38 von Hagelin (M-209) im Fronteinsatz 


Test, der sich über ein volles Jahr hinzog, im Juni 1941 für einen Nach¬ 
bau auf Lizenz-Basis entschied, der die Bezeichnung M-209 bekam. Die U.S. 
Streitkräfte gingen damit auf taktischem Niveau zu einer mechanischen Chif¬ 
friermaschine über, die auch noch nach dem Krieg verwendet wurde. Abb. 40 
zeigt auf einem Gefechtsstand der 3. U.S. Infanterie-Division in Hyopchong, 
Korea, am 1. Oktober 1951 einen Nachrichtensoldaten mit umgehängtem 
Gewehr beim Gebrauch einer ffagelinschen M-209. 



Dabei hatte Hagelin schon früh den Gebrauch von 
mechanischen Chiffriermaschinen in der vorder¬ 
sten Linie ins Auge gefaßt. Für seine C-35 wurde 
die Bodenplatte „so geformt, daß sie beim Ge¬ 
brauch im Felde auf das Knie des Operateurs ge¬ 
schnallt werden konnte. Der Operateur konnte so¬ 
gar, falls notwendig, mit der angeschnallten Ma¬ 
schine marschieren“ (Boris Hagelin, 1979). Für die 
französische Gendarmerie konstruierte Hagelin in 
den fünfziger Jahren sogar eine Taschen-Chiffriermaschine etwa gleicher Lei¬ 
stungsfähigkeit (CD-55, CD-57), die in Verbindung mit Schlüsselstreifen als 
,Spruchtarngerät STG-6F in der Bundeswehr Verwendung fand. 


Spruchtarngerät STG-61 


Auf die Arbeitsweise der Chiffriermaschinen werden wir im 7. und 8. Kapitel 
zurückkommen. 
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“Although Hilhs cipher System itself 
saw almost no practical use, it had 
a great Impact upon cryptology . 77 

David Kahn , 1967 

Eine lineare (,affine 4 ) Substitution ist eine spezielle polygraphische Substi¬ 
tution. Der injektive Chiffrierschritt einer polygraphischen Blockchiffrierung 

X : V n — W m 

mit vergleichsweise großem n und m wird auf besondere Weise eingeengt: Die 
endlichen Zeichenvorräte V und W werden nunmehr wesentlich als linear 
geordnete Alphabete aufgefaßt. In dieser jeweiligen Ordnung kann dann zu 
jedem Zeichen x das ,nächste 4 Zeichen succ x angegeben werden, wobei 
zu einem letzten Element u ein erstes Element a ,nächstes 4 sein soll: 
succcj(U) = a(V). Damit ist auch die Umkehrung pred von succ definiert, 
mit pred a(V) = v(V). Man sagt dann, man habe ein Standardalphabet 
ausgezeichnet. Es handelt sich dabei um eine endliche zyklische lineare Quasi¬ 
ordnung des Alphabets. 

Es wird nun in V = Z\ V \ bzw. W = Z\ w \ eine Addition eingeführt. Sie 
kann rekursiv definiert werden: Für a, b G V bzw. G W gilt 

a + b = succ a + pred b , 
a + a — a . 

Dies bedeutet, daß Z\ v \ bzw. Z\ w \ eindeutig und ordnungserhaltend auf 
Z| V | bzw. %jw\ abgebildet worden sind, wo Z N die Gruppe der Restklassen 
von Z modulo der natürlichen Zahl N ist, geordnet durch Repräsentanten in 
der Reihenfolge 0 , 1 , ... iV — 1 ; der Addition in V bzw. W entspricht dann 
die Addition der Restklassen. Weithin ist es üblich, das Alphabet {a , ... uo} 
geradezu mit den Zykelzahlen (,zyklotomische Zahlen 4 ) {0 , ... , N — 1} , 
wo N= \V\ bzw. N =\W\ ist, zu identifizieren 1 . Die Addition in V bzw. 
W wird nun auf V n bzw. W m komponentenweise übertragen. 


1 Für Z 26 ^26 som ü die Identifizierung (‘algebraic alphabet’) 

abcdefghijk 1 mn o p q r s t u vwx yz 
0 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 



ö 
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Von einer Abbildung 4> kann verlangt werden, daß sie injektiv und additiv 
ist: V x, y G Z^ : <k(x + y) = $(x) + $(y) , 

in Worten: „Das Bild der Summe ist Summe der Bilder“. Es gilt dann auch 
V x G Z^ : 4>(x + x + ... + x) = 4>(x) + 4>(x) + ... + 4>(x) , 
in Worten: „Das Bild eines Vielfachen ist Vielfaches des Bildes“. 

In der Tat ist J. N ein Ring, Z^ ein Vektorraum mit dem Nullvektor 0; 
die Forderung der Additivität zusammen mit der Injektivität bewirkt, daß 
4> eine reguläre lineare Abbildung des Vektorraums in den Vektorraum 
Zj^| ist, die auf ihrem Bild eine eindeutige Umkehrung <f> _1 besitzt. 

Falls N — p Primzahl ist, und nur dann, ist J. N sogar ein Körper, das 
Galoisfeld F (p). Wir werden jedoch im folgenden zunächst die Primalität 
von N nicht benötigen. 

Wir setzen im weiteren W = V = J. N voraus und nehmen als Breite m — n. 
Dann ist eine reguläre lineare Abbildung & sogar bijektiv. 

Wir benützen ferner eine quadratische Matrix T über J. N zur Darstellung 
von $ : <k(x) = xT mit der Umkehrung $ ~ 1 (y) = yT ~ l . 

Eine lineare Substitution \ —> Z^ ist nun aufgebaut als Summe 

aus einem homogenen Anteil, dargestellt durch eine reguläre Matrix 
T G Z^/ n und einer (polygraphischen) CAESAR-Addition, dargestellt 
durch einen Vektor t G Z^ : 

x(x) = xT + t . 

Beispiel: 

Uber Z 26 seien gegeben eine Matrix T und ein Vektor t , 

/15 2 7 \ 

T = 8 10 23 t = (17 4 20) 

V 0 2 8 / 

Eine 3x3-Matrix T und ein 3-Vektor t definieren eine tripartite Trigramm- 
substitution. Das Bild des Trigramms /mai/ = (12 0 8) ergibt sich 

durch Rechnung modulo 26: 

/15 2 7 \ 

(12 0 8) 8 10 23 + (17 4 20) 

\ 0 2 8 / 

~ (24 14 18) + (17 4 20) ~ (15 18 12) =/psm/. 

Aber auch das Bild des Trigramms /ecg/ = (4 2 6) ist /psm/ , denn 

auch 

/15 2 7 \ 

(4 2 6) 8 10 23 ~ (24 14 18) . 

\ 0 2 8 / 

Die Chiffrierung durch die gegebene Matrix T ist also nicht injektiv, T ist 
nicht regulär und hat keine Inverse. Der Vektor (8—2 2) annulliert T . 
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5.1 Involutorische lineare Substitutionen 


Die Frage liegt nahe: Wann ist eine lineare Substitution x involutorisch ? 
Die Bedingung lautet, daß x( x ) = X T + t = X~ 1 { x ) ? also 

x — x(x( x )) = { X T + t)T + t = xT 2 + tT + t , woraus 

T 2 —I und tT + t = 0 

folgen. Somit muß die Matrix T des homogenen Anteils involutorisch sein, 
weswegen als Eigenwerte von T nur 1 oder N — 1 auftreten können, und 
der Vektor t muß, wenn er nicht verschwindet, Eigenlösung von T zum 
Eigenwert N — 1 sein. Speziell kann x eine Spiegelung sein mit einer 
Spiegelebene, die als Normale v hat: 

X(x) = x + ( 1 — 7 (x)) v mit v ^ 0 

wobei das lineare Funktional 7 der Bedingung y(v) = 2 genügt (im Falle 
N = 2 der Bedingung j(v) = 0 ). Dann gilt x( v ) — 0 un d x(0) = v • 
Daß x 2 ( x ) = x 5 bestätigt man durch Einsetzen: 

X(x(x)) = X(x) + [l-7(x(a:))] v 

= x + ( 1 - 7 ( 3 :)) v + [ 1 - 7 ( 3 ;) - (1 — 7 (x)) 7 (u)] v 

= x + ( 1 - 7 ( 3 ;))« + [ (l- 7 (x)) - 2(1 - 7 ( 3 ;)) ] v — x . 

2 2 

Beispiel: Z 2 —> Z 2 (n = 2, d.h. zweikomponentige Zeilenvektoren, N — 2 ) 
X((X1 X 2 )) = (Xi X 2 ) + (I — X1—X2) (1 l) = (l-x 2 l-xi) = 

(*1 X ^(L ^' 

V 1 u / (0 1) (11) 


x((o 0 )) = (1 1 ) 
x((o 1)) - (0 1) 
x((i 0)) = (1 0 ) 
x((l 1)) = (0 0 ) 



Der Klartext 001001110110110001 wird chiffriert in den Geheimtext 
111001000110001101 und umgekehrt. 

5.2 Homogene und inhomogene lineare Substitutionen 


5.2.1 Wir betrachten zunächst den Spezialfall der homogenen linearen 
(,affinen 1 ) Substitution, t = 0 (HILL-Chiffrierschritt). 

Nachfolgend ein Beispiel über Z für eine reguläre (quadratische) Matrix der 
Determinante +1 mit n — 4 und ihre Inverse: 


/ 8 6 9 5 \ /-3 20 -21 1\ 

6 9 5 10 | 1 _ [ 2 -41 44 1 

5849 1 I 2 —6 6-1 

V10 6 11 4/ V —1 28 -30 -1/ 
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Bei der Zahlenrechnung spart man sich Rechenarbeit, wenn man auch kleine 
negative Zahlen als Repräsentanten der Restklassen benutzt, über Z 26 neben 

r 

/ . _ \ / 

™ i 26 

Beispiel: Das Bild des Tetragramms /ende/ = (4 13 3 4) ergibt 
sich durch Rechnung modulo 26 zu /jhbl/= (9 7 1 11) : 


23 

20 

5 

1 \ 

/- 3 

-6 

5 

2 

11 

18 

1 

auch T“ 1 ~ 2 

11 

-8 

2 

20 

6 

25 

l ^ 

-6 

6 

25 

2 

22 

25/ 

V-1 

2 

-4 


(4 13 3 4) 


(9 7 1 11) 


/ 8 

6 

9 

5 \ 

6 

9 

5 

10 

5 

8 

4 

9 

V 10 

6 

11 

4 / 

/23 

20 

5 


2 

11 

18 

1 

2 

20 

6 

25 

\25 

2 

22 

25/ 


26 


~ (9 7 1 11' 


26 


(4 13 3 4) . 


5.2.2 Mit t — (3 8 5 20) und T wie oben ist eine inhomogene lineare 
(,affine 1 ) Substitution x gegeben 

8 6 

6 9 

5 8 

,10 6 

mit der Umkehrung 


x(xi x 2 x 3 x 4 ) - {x\ x 2 X 3 x 4 ) 



+ (3 8 5 20) 


X Hvi V2 Vs Vi) = {y l V2 2/3 2/4) 


/23 

20 

5 

1 \ 

2 

11 

18 

1 

2 

20 

6 

25 

\25 

2 

22 

25/ 


+ (3 24 21 14) 


5.2.3 Die Anzahl regulärer n-reihiger Matrizes über hängt von der 

Primalität von N ab. Bekannt ist 2 

Satz. Sei N=p, p prim. Die Anzahl g(p, n) regulärer Matrizes aus Z™ ,n ist 

g(p , n) = ( p n - 1) ( p n - p) ( p n - p 2 ) . . ( p n - p n_1 ) . 

2 

Die Anzahl verschiedener Matrizes überhaupt ist p n . Es gilt 

2 

g(p, n) — p n ■ p{p, n) , 

WO 

p(p, n) = f[ l 1 - A . 

fc=l F 

Für den binären Fall N=2 : g{ 2,1) = 1, g( 2,2) = 2 1 • 3, g{ 2,3) =2 3 -3-7, 
p(2,4) = 2 6 -3■ 7-15, g{2, 5) = 2 10 -3-7-15• 31, ^(2,6) = 2 15 -3• 7-15• 31 -63 . 


2 siehe Heinz-Richard Haider, Werner Heise : Einführung in die Kombinatorik, S.206. 
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Dabei ist ( Euler 1760) 

lim«-«» p{p, n) = h{±) , wo 

OO 

h{x) = 1 + ^ (- 1 )" [x {3k2 - k)/2 + x (3fe2+fe)/2 ] 

fc=l 

= 1 — x — x 2 + x 5 + x 7 — x 12 — x 15 + x 22 + x 26 . . . 

eine lakunäre Reihe ist, die mit Thetareihen 3 zusammenhängt, h(^) liefert 
für größere n eine gute Abschätzung für p(p, n); einige Werte für Prim¬ 
zahlen p sind 


N — p 

MP 


2 

0.28879 

-1.24206 

3 

0.56013 

-0.57959 

5 

0.76033 

-0.27400 

7 

0.83680 

-0.17817 

11 

0.90083 

-0.10444 

13 

0.91716 

-0.08647 

17 

0.93772 

-0.06430 

19 

0.94460 

-0.05699 


Für p > 10 gibt 1 ~ \ ~ bereits 5 genaue Stellen für h(^) ; 
l/(§ ~ P) nähert Inh(^) mit einem relativen Fehler kleiner als ^ • 

Die Anzahl involutorischer Matrizen ist größenordnungsmäßig yjg(p , n ). 

Für Primzahlpotenzen gelangt man auf folgende Weise weiter: 

Satz (Manfred Broy , 1981) 

Sei N Primzahlpotenz, N = p s und A ez n y . Dann existieren 
Ai e Z^ ,n , 0 < i < s derart, daß A in der Form A = ^ P % 

eindeutig darstellbar ist. A ist regulär genau dann, wenn Aq regulär ist. 
Daraus folgt 

g(p s , n)=g(p , n)-(p n2 f 1 = (p n2 )%(p, n) = (p s ) n '-p(p, n) = V n2 -p(p, n) . 
Schließlich ergibt sich, wenn N=p s 1 1 -p2 2 .. .p s k k , als Anzahl regulärer Matrizen 
g(N, n ) = N n2 • p(pi, n) • p(p 2 , n) • ... p(p k , n) . 

Verglichen mit der Anzahl ( N n )\ aller polygraphischen Substitutionen ist 
das nicht viel: für N = 25 , n = 4 ist (7V n )! « io 2 184 284 , demgegenüber 
beträgt N n = 2.33 • 10 22 und g(N, n ) = 1.77 • 10 22 . Das reicht knapp an 
die Anzahl 6.20 • 10 23 einfacher zyklischer Permutationen für N = 25 heran. 
Für N = 25 ist g( 25,1) = 20, p(25, 2) = 300 000, g( 25,3) = 2 906 250 000 000 ; 
für N = 26 ist p(26,1) = 12, p(26, 2) = 157248, p(26,3) = 1 634 038 189 056 . 


3 Siehe etwa R. Remmert, Funktionentheorie I, Springer 1984, S. 263. 
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5.2.4 Die Konstruktion einer regulären Matrix geschieht am einfachsten 
als Produkt einer unteren mit einer oberen regulären Dreiecksmatrix. Dazu 
müssen die Diagonalelemente invertier bar sein (s. 5.5, Tabelle 1), am einfach¬ 
sten nimmt man Einsen in die Diagonale. Außerdem kann man die obere 
Dreiecksmatrix als transponierte der unteren wählen, dadurch erhält man 
symmetrische Matrizes. Die Invertierung der Dreiecksmatrizes zwecks Erzie¬ 
lung der inversen Abbildung geschieht nach der Eliminationsmethode. Es ist 
auch möglich, diese Rechnung zuerst in Z auszuführen und dann zu den 
Restklassen überzugehen. 


Beispiel 

(j i 

V 5 2 1 


1 3 5 
1 2 
1 


1 3 5 

3 10 17 
5 17 30 


1 

3 1 
5 2 1 


1 

-3 1 

1 -2 1 


1 3 5 
1 2 
1 


1 -3 1 

1 -2 
1 


1 -3 1 

1 -2 
1 


1 

-3 1 

1 -2 1 


11 -5 1 

-5 5 -2 

1 -2 1 


Für Z 26 bzw. Z 25 sind somit 

fl 3 5 \ /II 21 l\ fl 3 5 \ /11 20 1\ 

3 10 17 , 21 5 24 bzw. 3 10 17 , 20 5 23 

\5 17 4 / \ 1 24 1 / \5 17 5 / \ 1 23 1 / 

ein Paar (symmetrischer) inverser Matrizes, für Z 10 bzw. Z 2 sind es 


1 3 5 
3 0 7 
5 7 0 


1 5 1 \ 

5 5 8 ) bzw. 
18 1 / 


1 1 l\ fl 1 1 
1 0 1,1 1 0 
1 1 0 / V 1 0 1 


Wählt man für gegebenes n und N die untere Dreiecksmatrix L wie auch 
die obere Dreiecksmatrix U (mit Einsen in der Diagonale) ganz beliebig und 
für D eine Diagonalmatrix mit invertierbaren Elementen, so erhält man 
bis auf Umordnung von Zeilen und Spalten alle Paare gegenseitig inverser 
Matrizes LDU und [/ _1 D“ 1 L~ l . 


5 . 2.5 Die Konstruktion einer involutorischen Matrix ist kaum schwieriger: 
Ist für gegebenes n und N (X , X -1 ) ein Paar gegenseitig inverser 
Matrizes und ist J eine involutorische Diagonalmatrix, deren Elemente +1 
oder —1 (allgemeiner: in J. N zu sich selbst reziprok) sind, so ist X J X~ l 
involutorisch. 
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Beispiel 

/1 3 5 \ /1 \ / 11 -5 1\ / 31 -30 12 \ 

3 10 17 -1 -5 5 -2 = 100 -99 40 . 

\5 17 30/ \ 1/ \ 1 -2 1 / \ 170 -190 69/ 

Für Z 26 , Z 25 , Z 10 , Z 2 ergeben sich somit die involutorischen Matrizes 

/ 5 22 12\ / 6 20 12\ /l 0 2\ /1 0 0\ 

22 3 14 , 0 1 15- , 0 1 0, 0 1 0. 

V14 18 17/ \ 20 5 19/ \0 0 9/ \0 0 1/ 

Uber Z 2 ist die Identität die einzige involutorische Diagonalmatrix. 

Für die Anzahl involutorischer n-reihiger Matrizes über Z N ist keine einfache 
Formel bekannt. 


5.3 Binäre lineare Substitutionen 


Für Z 2 , d.h. für Binärwörter (der Länge n 0 ) des Klar- und des Geheimtex¬ 
tes, wird die technische Durchführung von linearen Substitutionen besonders 
einfach. Die Arithmetik modulo 2 läßt sich in Boolesche Algebra übersetzen 
und mit binären Schaltungen der Breite no realisieren, für nicht zu großes 
rio sogar parallel. 

Vergleicht man den Fall Z 2s ° xn °(n = n 0 ,iV = 2 4 S ) mit dem Fall ^ n ° xs ‘ n ° 
(n = s • no , iV = 2) der sich ergibt, wenn man die 2 S Zeichen von Z 2 ? xn ° in 
Binärwörter der Länge s auflöst, so beträgt die Anzahl aller linearen Sub¬ 
stitutionen 2 s n o • p(2,n 0 )=K-p(2,n 0 ) im ersteren Fall, 2 s2 ' n o-p(2, s • n 0 ) = 
K s • p( 2, s • no) im letzteren Fall. Die feinere Auflösung, die Z 2 vornimmt, 
erhöht also die Mächtigkeit der Verfahrensklasse der linearen Substitutionen. 


5.4 Allgemeine lineare Substitutionen 

Nimmt man noch die N n CAESAR-Additionen hinzu, so hat man von der 
Größenordnung N n +n lineare Substitutionen insgesamt. Selbst reziproke 
homogene lineare Substitutionen (mit N = 26) hat 1929 Lester S. Hill 4 vor¬ 
geschlagen, ein Vorläufer ist F. J. Buck (1772) 5 . Hills Ideen wurden 1941 von 
A.A. Albert in einer Woge patriotischer wie mathematischer Begeisterung 
aufgegriffen, insbesondere in einem Vortrag auf einem Treffen der American 


4 Lester S. Hill war damals, 38 Jahre alt, assistant professor of mathematics am Hunter 
College in New York. Er hatte 1926 in Yale seinen Doktor gemacht, nachdem er an 
verschiedenen Colleges Lehrer gewesen war. Die Arbeit ist in The American Mathe- 
matical Monthly unter dem Titel “Cryptography in an Algebraic Alphabet” erschienen 
(Band 36 , S. 306-312, Juni-Juli 1929), sowie eine Nachfolgearbeit “Concerning certain 
linear transformation apparatus of cryptography” (Band 37 , S. 135-154, März 1931). 
Hill blieb bis 1960 Professor am Hunter College, er starb am 9. Januar 1961. 

5 L.J.d’Auriol verwendete 1867 eine Bigrammverschlüsselung V 2 —► V 2 , die möglicher¬ 
weise eine spezielle lineare Substitution ist. 
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Mathematical Society. Zu diesem Zeitpunkt hatten sie aber bereits ihre Aus¬ 
wirkungen gehabt, auf W. F. Friedman in den Staaten, auf Werner Kunze im 
Auswärtigen Amt. 6 Hills Bedeutung liegt vor allem darin, daß seither der 
Wert mathematischer Methoden in der Kryptologie unumstritten ist. So ist 
es nur konsequent, daß in den dreißiger Jahren Mathematiker in die Chiffrier¬ 
büros einzogen, Solomon Kullback (1907-1994), Abraham Sinkov (*1907), 
Werner Kunze , Maurits de Vries und viele, deren Namen verborgen bleiben. 

Lester S. Hill konstruierte auch eine Maschine, die (für n = 6) lineare Sub¬ 
stitutionen durchführte, und bekam dafür ein Patent (U.S. Patent 1.845,947). 
Ein rein mechanisches Gerät mit Zahnrädern befriedigte aber nicht sehr, und 
so wurde Hills Erfindung im 2. Weltkrieg nur benutzt, um 3-Buchstaben- 
Gruppen von Radio-Rufzeichen zu verschlüsseln — gegenüber der Berech¬ 
nung von Hand bereits ein beträchtlicher Gewinn. 


5.5 Zerfallende lineare Substitutionen 

Als Spezialfall steckt hinter der linearen Substitution jedoch auch eine spezi¬ 
elle poly alphabetische Chiffrierung. Dies ist so, wenn T in direkte Bestand¬ 
teile zerfällt, T = T\ 0 0 • • • ® T r , also blockdiagonal ist, 


Ti 

0 


0 1 

0 

t 2 


0 




0 

V o 

0 

0 

T r / 


wobei Ti n^-reihig ist. Dann definiert jedes Ti , zusammen mit dem entspre¬ 
chenden Anteil ti von t = * -®£r > eine polygraphische Substitution, 

eine Chiffrierung von ?vgrammen. Sofern diese r Substitutionen paarweise 
verschieden sind, handelt es sich gleichzeitig um eine r-fach polyalphabeti¬ 
sche, lineare polygraphische Chiffrierung. Mehr darüber in 7.4.1. 

Ein wichtiger Extremfall ist = 1 , r = n . Dann ist T eine Diagonalma¬ 
trix, in jeder Zeile liegt eine einfache lineare (,affine‘) Substitution, eine 
spezielle unipartite monographische Substitution Ti : V 1 — > V 1 vor. 


Dr. Werner Kunze , geboren etwa 1890, hatte in Heidelberg Mathematik, Physik und 
Philosophie studiert, war Kavallerist im 1. Weltkrieg und kam im Januar 1918 zur Kryp¬ 
tologie im AA. Er brach 1923 einen überschlüsselten diplomatischen Code Frankreichs, 
1936 ORANGE und später RED, zwei japanische Rotor-Schlüsselmaschinen. Kunze war 
vermutlich der erste professionelle Mathematiker, der in einem modernen kryptanalyti- 
schen Büro beschäftigt war. Kunze war, gleich Mauborgne, ein passabler Violinspieler, 
auch Strachey wurde als guter Musiker gerühmt, während Painvin ein ausgezeichneter 
Cellist war. Lambros D. Callimahos, N.S.A., war ein berühmter Flötist. 
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N= 2 

1 




X 2 = Ci 

II 

CO 

1 

2 



<M 

II 

CO 

3 

II 

1 

3 



<M 

II 

3 

N= 5 

1 

2 

3 

4 


Al 5 — C4 

II 

1 

5 



m 5 = c 2 

II 

1 

2 

4 

3 

5 

6 

& 

II 

b- 

3 

00 

II 

1 

3 

5 

7 

A4 8 — C2 x C2 

N= 9 

1 

2 

5 

4 

7 

8 

A4g = Cß 

N= 10 

1 

3 

7 

9 


II 

0 

3 

N= 11 

1 

2 

6 

3 

4 

5 7 10 

9 8 

II 

0 

N=12 

1 

5 

7 

11 

A4i2 = C2 x C2 

N= 13 

1 

2 

7 

3 

9 

4 5 6 12 

10 8 11 

<M 

<0 

II 

CO 

3 

V=14 

1 

3 

5 

9 

11 

13 

A414 = Cß 

N= 15 

1 

2 

8 

4 

13 11 14 

A415 = C4 x C2 

N =16 

1 

3 5 

11 13 

7 9 15 

A4 iß = C 4 x C 2 

N =17 

1 

2 

9 

3 

6 

4 5 8 10 11 

13 7 15 12 14 b 

A4i7 = Cie 


Tabelle 1 a. Selbst reziproke Elemente und reziproke Paare in Z. N für N von 2 bis 17 
(Fettgedruckt ist jeweils ein Satz erzeugender Elemente der multiplikativen Gruppe A4_/v) 
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N= 18 

1 

5 7 17 

11 13 

A1i8 

= c 6 

N= 19 

1 

2346789 14 

10 13 5 16 11 12 17 15 8 

A4l9 

= Cis 

N= 20 

1 

^ 9 11 19 

M.20 

= C 4 xC 2 

N= 21 

1 

2 4 5 „ ^ 1 “i 2f) 

11 16 17 19 

M 2 I 

= CqX C 2 

N=22 

1 

3 5 7 13 

15 9 19 17 

M.22 

= C 10 

N= 23 

1 

2 3 4 5 7 9 11 13 15 17 „„ 

12 8 6 14 10 18 21 16 20 19 11 

M 23 

= C 22 

iV=24 

1 

5 7 11 13 17 19 23 

M 24 

= C 2 x C 2 x C 2 

N= 25 

1 

2 3 4 6 7 8 9 11 12 

13 17 19 21 18 22 14 16 23 Z4 

M 25 

= C 20 

JV=26 

1 

3 5 7 11 17 

9 21 15 19 23 ö 

M.26 

= C 12 

N=27 

1 

2 4 5 8 10 13 16 20 

14 7 11 17 19 25 22 23 ö 

M.27 

= C 18 

00 

CN 

II 

1 

3 5 9 11 

19 17 25 23 

M. 28 

= Cß x C 2 

N=29 

1 

2 3 4 5 7 8 9 12 14 16 18 19 23 9 
15 10 22 6 25 11 13 17 27 20 21 26 24 8 

M- 29 — C 28 

O 

CO 

II 

1 

13 11 23 19 29 

A"(30 

= C 4 X C 2 

JV=31 

1 

2 3 4 5 6 7 10 11 12 14 15 18 22 23 
16 21 8 25 26 9 28 17 13 20 29 19 24 27 

30 

A^31 = ^30 

iV=32 

1 

3 5 7 9 19 21 

11 13 23 25 27 29 

M .32 

= Cg x C 2 

iV=33 

1 

2 4 5 7 8 in 13 14 16 9 „ 

17 25 20 19 29 28 26 31 

M .33 

= C 10 x C 2 


Tabelle 1 b. Selbstreziproke Elemente und reziproke Paare in für N von 18 bis 33 

(Fettgedruckt ist jeweils ein Satz erzeugender Elemente der multiplikativen Gruppe A4jv) 
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Betrachten wir diesen monographischen Fall — eine Permutation. Es ist 
x(x) = q • x + t sicher regulär für q — 1 , \{ x ) — x + t mit der Um¬ 
kehrung x~ l ( x ) = x — t . Dies liefert für t ^ 0 eine CAESAR-Addition. 
Für xi x ) — x 2~i schreiben wir hinfort auch x{ x ) = p l {x) , wo p(x) = x + \ . 
Allgemein gilt 

X( x ) — q - x + t ist regulär genau dann, wenn q teilerfremd ist zu N . 

Tabelle 1 gibt für einige gebräuchliche Werte von N selbstreziproke q und 
reziproke Paare von q und q ~ l , sowie die Darstellung der multiplikativen 
Gruppen Mn als Produkte zyklischer Gruppen Ci von i Elementen. 

5.6 Dezimierte Alphabete 

Der homogene Fall liefert neben den Trivialfällen involutorischer Alphabete 
q = q~ l — 1 (unverändertes Alphabet) und 

q = q~ l — N — 1 (komplementäres Alphabet) 

die dezimiertenen Alphabete (frz. alphabets chevauchants ), die Eyraud 
betrachtet: Alphabete, die man erhält, wenn man für q > 1 als Repräsen¬ 
tanten die g-fachen modulo N ( Sinkov : ‘decimation by q ’) nimmt. Eyraud 
gibt auch die Bedingung der Teilerfremdheit von q und N an. 

Beispiele für N = 8 : 

«= 1: (: i c i i / 11) = <»> <i) <c) w <»> « («> 

«- 7: (° * i /: d 11) = (“> < 6 fl < c9) w) <fl 

9 = 3 : (“ ‘ ll l { y) = («) (M) to) (e) (A) 

9 = 5: (: /: i i l i d) = (o) (6/) ( c) {ih) <fl <fl • 

Das komplementäre Alphabet ergibt sich mit der Abbildung 

N N 

x(x) = (N — 1) • x ~ N — x ~ — x . 

Das revertierte Alphabet ergibt sich aus dem inhomogenen Fall mit der 
Abbildung 

N N 

x(x) — (N — 1) • (x + 1) ~ (N — 1) — x ~ — x — 1 . 

Die Anzahl g(N, 1) regulärer homogener Abbildungen stimmt mit der Eu- 
lerschen Funktion (p(N) , der Anzahl der zu N teilerfremden Zahlen unter 
den Zahlen 1,2, ..., N — 1 überein. 

Ist N = pl 1 • P 2 2 • • • • • p s k k , so ist 

if(N) = (p x - 1) -p Sl ~ l ■ (p 2 - 1) -p S2_1 • ... • (Pk - 1) -p 8 *- 1 

= n ■ n - y ■ n - y ■... .ri-i). 

v p 1 ) \ p 2 ’ V Vs’ 
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5.7 Lineare Substitutionen 

mit Dezimalzahlen und Dualzahlen 

Man beachte den Unterschied zwischen Z^ , das zu V n gehört, und J- N n , 
auf das man geführt wird, wenn V n etwa lexikographisch geordnet wird. 

5.7.1 Fall N = 10: Die dezimierten Alphabete (vgl. 5.6) für n-ziffrige De¬ 
zimalzahlen, d.h. für Z 10 n, sind besonders interessant für Amateure 7 , die in 
Z 10 n mit einem Taschenrechner chiffrieren, da dieser neben der Addition auch 
die Multiplikation mit einem festen Faktor q erleichtert. 

Beispiel n — 2 ( Z 100 )• Es genügt, für Primzahlen bis 97 (ohne 2 und 5) die 
Reziproken modulo 100 zu kennen: 

h = 3 7 11 13 17 19 23 29 31 37 41 43 47 53 59 61 67 71 73 79 83 89 97 
h~ l = 67 43 91 77 53 79 87 69 71 73 61 7 83 17 39 41 3 31 27 19 47 9 33 

Dabei ist die Endziffer der Reziproken schon durch das Reziproke modulo 10 
der Endziffer bestimmt, vgl. Tabelle 1, N = 10 . Dies legt für größere Werte 
von n ein stufenweises Vorgehen nahe: Man bestimmt jeweils eine weitere 
Ziffer passend. 

Beispiel n — 5 ( Z 10 s): Das Reziproke modulo 10 5 etwa von h = 32 413 
ergibt sich zu h~ 1 = 3 477 mit folgendem Algorithmus 


3 




7 • 

3 

= 2 

•10+1 

13 

2 + 1-7 + 3- 

i 0 n 

x zz 0 

x = 7 

77 

13 

= 10 

• 10 2 + 1 

413 

10 + 4-7 + 3- 

10 p. 

x ~ 0 

x==4 

477 

413 

= 197 

• 10 3 + 1 

2413 

197 + 2-7 + 3- 

1 0 n 

x ~ 0 

,z; = 3 

3477 ■ 

2413 

= 839 

• 10 4 + 1 

32413 

839 + 3 • 7 + 3 • 

x ~ 0 

x — 0 

03477 ■ 

32413 

= 1127 

• 10 5 + 1 


Der Aufwand zur Bestimmung der Reziproken einer n-stelligen Zahl geht 
proportional n 2 . 

5.7.2 Fall N = 2: Für professionelles Arbeiten ist das Dualsystem vor¬ 
zuziehen. Die Fälle n — 8, 16, 32 oder gar 64 passen direkt auf die 
Internarithmetik von Mikroprozessoren dieser Verarbeitungsbreiten. Der Al¬ 
gorithmus zur Bestimmung einer Reziproken modulo 2 n verläuft analog dem 
obigen, ist überdies wie der klassische Dualalgorithmus der Division noch 
einfacher als der für den Fall modulo 10 n . 

Beispielsweise erhält man zu LOOO OOOO OOLL OLLL = 32823 
reziprok modulo 2 16 OOLL OL OL LOOO OLLL = 13703 

In der Tat ist 32823 • 13703 = 449773569 = 1 + 6863-2 16 . 

5.7.3 Alan Turing machte sich bereits 1937, zwei Jahre bevor er ernsthaft 
mit Kryptanalyse befaßt war, Gedanken über eine Chiffrierung durch Multi¬ 
plikation im Dualsystem. Das mag manchem Mathematiker gelegentlich vor¬ 
geschwebt haben; Turing entwarf jedoch eine Relais-Multiplikationsschaltung 

7 Auch mit einem mechanischen Addiergerät kann man leicht in Z 1Qn rechnen. Um zum 
Rechnen in Z™ 0 überzugehen, muß man die Übertragseinrichtung ausbauen (vgl. 8.3.3). 
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dafür und baute auch die ersten Stufen, mit Unterstützung durch den Physi¬ 
ker Malcolm McPhail. Die Umstände veranlaßten Turing , als er im Juli 1938 
aus Princeton zurückgekehrt war, dieses Vorhaben nicht weiter zu verfolgen 
- aber er war darauf vorbereitet, die maschinelle Kryptanalyse in Angriff 
zu nehmen, als er am 4. September 1939, einen Tag nach Kriegsausbruch, 
in Bletchley Park, einem Schlößchen in Buckinghamshire, auf halbem Weg 
zwischen Oxford und Cambridge, einzog. Die dorthin im August 1939 ver¬ 
lagerte Government Code and Cypher School hatte mit ihm schon im Som¬ 
mer 1938 Kontakt aufgenommen, dabei war er mit dem in erster Linie um 
die ENIGMA-Entzifferung bemühten Dillwyn Knox zusammengetroffen. 8 

Auch Gordon Welchman wurde für die Government 
Code and Cypher School vor Kriegsausbruch rekru¬ 
tiert. Der erste Mathematiker, der dort regulären 
Dienst machte, war jedoch Peter Twinn, ein Mann 
aus Oxford, der im Februar 1939 anfing. Ihm wurde 
später verraten, daß man einige Zweifel hatte, ob 
es weise war, einen Mathematiker anzuheuern, “as 
they were regarded as stränge fellows notoriously 
unpractical” ( Christopher Andrew). Tatsächlich 
hatten einige andere frühe Mitstreiter, wie Gordon 
Welchman und Dennis Babbage wenigstens einige 
Erfahrungen im Schachspiel, nicht zu reden von den Schachmeistern Stuart 
Milner-Barry , Harry Golombek und Hugh Alexander , die alle von Welchman 
angeworben wurden. 

Großbritannien war auf den heraufziehenden Krieg gut vorbereitet; aus Ox¬ 
ford und Cambridge kamen die besten Leute, wenn sie nicht Jagdflieger wer¬ 
den wollten, nach Bletchley Park. Seit Mitte 1938 war man in der GC&CS 
alarmiert. Weder die Vereinigten Staaten noch Deutschland trafen solch mi¬ 
nuziöse Vorkehrungen in der Rekrutierung von Wissenschaftlern. In Großbri¬ 
tannien hatte man später als in den U.S.A. oder in Deutschland die Bedeu¬ 
tung der Mathematik für die Kryptanalyse erkannt, mit Turing und Welch¬ 
man holte man jedoch gründlich auf. Die Talente unkonventioneller und ex¬ 
zentrischer Persönlichkeiten ausbeutend, war das britische Foreign Office in 
der Lage, das fähigste Team von Kryptanalysten in der britischen Geschichte 
zusammenzubringen. In Frankreich, dessen Kryptologie wie die britische ex¬ 
trem linguistisch orientiert war, bot sich dazu keine Gelegenheit mehr, nach¬ 
dem es 1940 über rannt worden war. 



Gordon Welchman 
(1906-1985) 


Es ist zweifelhaft, ob man Cave Brown glauben darf, daß Mitte 1938 Knox und Turing 
nach Warschau reisten, um durch Vermittlung des polnischen Geheimdienstes einen 
Polen mit Pseudonym Lewinski zu treffen, der angeblich bei Heimsoeth V Rincke in 
Berlin als Mathematiker und Ingenieur gearbeitet hatte und sich erbot, einen Nachbau 
der ENIGMA zu besorgen. 

Jedoch berichtet auch Harry Hinsley, daß bereits 1938 der polnische Geheimdienst in 
Sachen ENIGMA Fühler zur GC&CS und zu Knox ausgestreckt hatte. Knox beklagte 
sich seinerseits, als er zu diesem frühen Zeitpunkt mit leeren Händen zurückkam, die 
Polen “were stupid and knew nothing”. 


6 Chiffrierschritte: Transposition 


^En un mot, les methodes de transposition 
sont une salade des lettres du texte clair .» 

Etienne Bazeries 

Ein im 5. Kapitel gar nicht behandelter extremer Spezialfall einer homogenen 
linearen Substitution stützt sich auf reguläre Matrizes, die nur mit 0 und 1 
besetzt sind, was für N > 2 eine echte, und zwar schwere Einschränkung 
bedeutet. 

Verlangt man überdies, daß in jeder Zeile und in jeder Spalte genau einmal 
1 und sonst 0 vorkommt, so bekommt man eine Permutationsmatrix; die 
lineare Substitution bewirkt eine bloße Permutation der Basis. 

Die Transposition (engl, transposition , deutsch auch ,Umstellung 4 , ,Würfel¬ 
verfahren 41 oder ,Versatzverfahren 4 ) ist also eine polygraphische Substitution 
7 r aus y n • U n — > V n , eine Codierung speziellster Art 

{x\ , X 2 , • • • X n ) 1 > (*^7r(l) 5 x tt(2) ? • • • x ir(n)) 

wo 7r eine Permutation von {1... n} ist. Sie wechselt nicht Alphabetzeichen 
aus, sondern permutiert Plätze. Uralt ist ihre Verwendung für Anagramme 
(Bolivia - Lobivia), insbesondere zur Bildung von Pseudonymen. 2 

6.1 Einfachste Verfahren 

Die einfachsten Verfahrensklassen sind einelementig oder haben nur geringen 
Umfang. 

6.1.1 Krebs: Wortweise oder im ganzen die Nachricht rückwärts gelesen. 

Beispiele: Lirpa Occabot Kool , vgl. auch 1.4. 

Hierunter fallen auch Ananyme wie ,Remarque 4 für ,Kramer 4 , ,Ave 4 für 
,Eva 4 . Krebs ist auch eine in der Musik bekannte Chiffrierung: Krebskanon. 

Palindrome 3 sind Wörter oder Sätze, die unter Krebs invariant sind: 

1 Eigentlich ,Verwerfung 6 , vgl. den Gebrauch des Wortes ,Gleis-Verwerfung 6 für eine Per¬ 
mutation von Eisenbahngeleisen. 

2 Anagramme als Pseudonyme (mit dichterischer Freiheit und phonetischer Rückung): 
Amery = Mayer Monroe = Mortenson Garbo = Gustafsson 

3 In der experimentellen Lyrik benutzt von Otto Promber, Oskar Pastior, Herbert Pfeiffer. 
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Reger Renner Rentner Reittier Marktkram Lagerregal Regiegeiger Reliefpfeiler 
Eine Xenie Salomo las Nur Du, Gudrun Plaudere, du Alp Oh Cello voll Echo 
Erika feuert nur untreue Fakire Ein Neger mit Gazette zagt im Regen nie 

Eins nutzt uns: Amore. Die Rederei da, die Rederei der Omas, nutzt uns nie 

Im Englischen sind bekannte Palindrome: 

red rum and murder a man, a plan, a canal: panama ma is as selfless as i am 

was it a cat i saw (Dudeney) madam, i’m adam (Sam Loyd) 

doc note, i dissent. a fast never prevents a fatness. i diet on cod (Peter Hilton) 

Martin Gardner verdanken wir: 

Esope reste ici et se repose in girum imus nocte et consumimur igni 

6.1.2 Schüttelreim: Eine harmlose nichtkryptographische Verwendung 
der Transposition findet man im Schüttelreim (engl, spoonerism ): 

schwarzen Wein — Warzenschwein 
fiesen Rächer — Riesenfächer 
Federn lassen — ledern fassen 
reine Sache — seine Rache 
they hung flags — they flung hags 
dear old Queen — queer old Dean 
wasted the term — tasted the worm 
missed the history — hissed the mystery 

Die dabei benutzte Transposition i r : 7r(l, 2,3,4) = (3,2,1,4) wird krypto- 
graphisch verwendet im Medical Greek, nach Kahn unter Londoner Medi¬ 
zinstudenten grassierend: POKE A SMIKE steht für smoke a pipe. 

6.1.3 Würfel (engl, route transcription , ‘ tramp ’): Nach Wahl einer Zeilen¬ 
länge k als Kennzahl wird der Klartext waagrecht in Zeilen der Länge k 
geschrieben, senkrecht herausgelesen 

i c h b i n 

derdok IDTECEONHRRBBDEAIOIRNKST 

t o r e i s 
e n b a r t 

Dieses Verfahren haben wir schon zur Gewinnung eines Alphabets für einfache 
Substitutionen kennengelernt (3.2.5). Varianten lesen längs der Diagonalen, 

Diagonalwürfel: ETNDOBIERACRERHDITBOSIKN 

oder furchenwendig 4 : Jede zweite Gruppe wird im Krebs gelesen, 
Schlangenlinienwürfel: IDTENOECHRRB AEDBIOIRTSKN 
oder sogar die ganze Nachricht in einer Spirale, 

Schneckenwürfel: TSKNIBHCIDTENB ARIODREORE . 

Raffinierter sind Rösselsprungwürfel (Abb. 41); ihre unbefugte Entziffe¬ 
rung ist jedoch nicht schwierig, wenn der Anfang bekannt ist (Rösselsprung- 
Rätsel) . 


Häuserlmeer — Mäuserlheer 
tappen wir — Wappenti(e)r 
Rotkehlchen — Kotröllchen 
Gossensass — Sossengass 


4 bustrophedon, engl, boustrophedonic , in der Art der Ochsenkehre beim Pflügen. 
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1 

V 

53 

18 

55 

6 

43 

20 

52 

17 

2 

5 

38 

19 

56 

7 

3 

64 

15 

54 

31 

42 

21 

44 

16 

51 

28 

39 

34 

37 

8 

57 

63 

14 

35 

32 

41 

30 

45 

22 

50 

27 

40" 

29 

36 

3T 

58i 

9 

13 

62j 

25 

48 

11 

60 

23 

46 

26 

49 

12 

6? 

24 

47 

Tö 

59 


Abb. 41. Rösselsprung-Würfel 


An Stelle von Rechtecken wurden von Zeit zu Zeit andere geometrische Mu¬ 
ster benutzt, hauptsächlich Dreiecke, aber auch Kreuze verschiedener Form 
und andere Anordnungen (Abb. 42,43). Der Phantasie sind hier keine Gren¬ 
zen gesetzt. Aber diese einfachen Transpositionsmethoden sind ganz offen 
für eine Kryptanalysis. 

a e i n r v z 

bdfhkmoqsuw v 
cgi p t x 

AEINRVZBDFHKMOQSUWVCGLPTX 
Abb. 42. Rail Fence (Smith); n = 25 

b f k o s w 

a ce gi ln pr tv x 
d h m q u z 

BFKOSWACEGILNPRTVXDHMQUZ 
Abb. 43. CroixGrecque (Müller), Four winds (Nicols); n = 24 

6.1.4 Raster: Bequem handhabbar sind Raster (frz. grille , engl, trellis 
cipher). Man benötigt generell einen Satz von Rastern. Beim praktischen 
Drehraster 5 werden verschiedene Fenster ein-und desselben Rasters durch 
Drehung nacheinander zur Wirkung gebracht. Es gibt 2-zählige (Abb. 44a) 
und 4-zählige (Abb. 44b) Drehraster; in Unkenntnis des historischen Ur¬ 
sprungs werden sie auch Fleißner-Raster 6 genannt. 


5 Drehraster hat Jules Verne (1828-1905) in der Erzählung ,Mathias Sandorff 4 (1885) be¬ 
schrieben. Ihr Gebrauch ist schon im 18. Jahrhundert, beispielsweise 1745 in der Kanzlei 
des niederländischen Statthalters Wilhelm IV., nachgewiesen. 

Der Mathematiker C. F. Hindenburg (1741-1808) hat sich 1796 mit Drehrastern beschäf¬ 
tigt, wie auch Moritz von Prasse 1799, Johann Ludwig Klüber 1809. 

6 Eduard Fleißner von Wostrowitz, Österreich. Oberst, ,Neue Patronen-Geheimschrift 4 
(Handbuch der Kryptographie, Wien 1881). Das Wort ,Patrone 4 , von mittellat. patronus , 
,Vaterform 4 , ,Musterform 4 , wurde in der Textiltechnik für eine Bindungsmuster-Zeich¬ 
nung auf kariertem Papier verwendet. 

In Jaroslav Haseks Erzählung ,Der tapfere Soldat Schwejk 4 wird ein ,Handbuch der mi¬ 
litärischen Kryptographie 4 von Oberleutnant Fleißner erwähnt, sowie andere Details, die 
eine gewisse Vertrautheit von Hasek mit der Kryptographie erkennen lassen. 
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1 









Abb. 44a. Zweizähliges Drehraster 


n [i r u li t 

j ü r (} 1 b 

iiii r t c li k 

fl s ft t o j 

I t ü I h h 

II i| I’ l; j t* 


2 



Abb. 44b. Vierzähliges Drehraster 


Die Konstruktion von Drehrastern ist einfach: Man beschreibt einen Qua¬ 
dranten des Feldes (mit gerader Zeilen- und Spaltenanzahl) mit Markie¬ 
rungen, überlagert alle durch Rotation sich ergebenden Markierungen und 
wählt dann von jeder Markierung genau eine aus. Das Drehraster von Abb. 45 
ergibt sich folgendermaßen: 


12 3 
4 5 6 
7 8 9 


7 4 1 

8 5 2 

9 6 3 


3 6 9 9 8 7 
2 5 8 6 5 4 
1 4 7 3 2 1 


Damit lassen sich Raster auch nach Schlüsseln hersteilen, die die Rasterlagen 
in den sukzessiven Schritten festlegen, etwa 7 suggestiv wie folgt: 

rJ LI LTJ1 JT. 


Würfel und Drehraster wurden gern auf militärisch-taktischem Niveau ver¬ 
wendet. Im 1. Weltkrieg wurden vom deutschen Heer ab Anfang 1917 Dreh¬ 
raster verwendet, mit Bezeichnungen wie ANNA (5x5), BERTA (6x6), 
CLARA (7x7), DORA ( 8x8), EMIL (9x9) und FRANZ (10x10). Nach 
vier Monaten gab man das wieder auf. 

Würfel und Drehraster ergeben eine Transposition der gesamten Nachricht. 
Vorläufer ist das Raster von Cardano , das keine Transposition ergibt, son¬ 
dern nur neben die durch die Fenster sichtbaren Zeichen eine größere Menge 
von Blendern setzt (vgl. 1.6). Ernstzunehmen sind diese Verfahren für sich 
allein nicht, aber man ist nie sicher, ob sie nicht doch verwendet werden: In 
Verbindung mit Substitution ist Transposition jedenfalls sehr wirksam. 

7 Für n — 4 v 1 Felder ergeben sich 

zweizählig: 2 n / 2 Möglichkeiten, vierzählig: 4 n / 4 = 2 n / 2 Möglichkeiten. Für n — 36 
sind das ~ 2.62 • 10 5 , die Anzahl aller Permutationen beträgt 36! ~ 3.72 • 10 41 . 
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6.2 Spalten-Transpositionen 


6.2.1 Mit Kennwörtern arbeitet die Verfahrensklasse der einfachen Spal¬ 
tentransposition (engl, columnar transposition , frz. tranposition simple 
ä clef ). Die Nachricht wird in Zeilen der gewählten Länge k geschrieben, 
die entstehenden Spalten werden nach Maßgabe einer Permutation 7 r £ 7 ^ 
(,Losung c ) umgeordnet und senkrecht herausgelesen: 


eswarschondunkel 

N -V- 

2143 1234 

e s w a S E AW 
r s c h S RHC 
ondu NOUD 
n k e 1 KN L E 


Tr : 2 143 


> SSNKERONAHULWCDE 


Für die Kryptanalyse damit äquivalent ist, die nach Maßgabe von 7 r £ 7 ^ 
umgeordneten Spalten waagrecht herauszulesen. 


eswarschondunkel 

S -v-- 

2143 1234 

e s w a S E AW 
r s c h S RHC 
ondu NOUD 
n k e 1 KN L E 


> 


Tr : 2 143 


SEAWSRHCNOUDKNLE 


Dies kann auch als eine Blocktransposition (,Umstellung c oder ,Gruppen- 
Transposition c , Gaines: complete-unit transposition , Eyraud: Variante de 
Richelieu ) aufgefaßt werden: Die Nachricht wird in Blöcke von k Elementen 
unterteilt und jeder dieser Blöcke wird mittels 7 r £ 7 ^ permutiert — es 
handelt sich um eine monoalphabetische polygraphische Chiffrierung mit der 
Breite k. 

Die einfache Spaltentransposition ist aber mit Papier und Bleistift mit weni¬ 
ger Mühe und sicherer durchzuführen. Und obwohl einfache Spaltentranspo¬ 
sition über die ganze Nachricht permutiert, bietet sie nicht mehr Sicherheit 
als Blocktransposition hier liegt auch eine complication illusoire vor. 

6.2.2 Um die Dechiffrierung zu erleichtern, wird beim Würfel wie auch bei 
einfacher Spaltentransposition und Blocktransposition meist verlangt, daß 
die Länge der Nachricht durch k teilbar ist. Die dazu erforderlichen Blen¬ 
der sind, wenn sie nicht fachmännisch gewählt werden —■ wenn also z.B. mit 
qq ... q aufgefüllt wird — ein beliebter Ansatz für den unbefugten Ent¬ 
zifferer. Notwendig ist diese Aufweichung beim Würfel wie bei der Spalten¬ 
transposition nicht — man kann ja die Länge der letzten Zeile, der Restzeile 
als Divisionsrest erhalten. 

Einfache Spaltentransposition und Blocktransposition - auch mit unvollstän¬ 
dig ausgefüllten Rechtecken - sind mit simpelsten Mitteln zu lösen. Man 
geht deshalb gern zu komplizierteren Transpositionen über. Sie sind alle als 
zusammengesetzte Verfahren (siehe 9.1.1) auffaßbar. 
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6.2.3 Mit einer zusätzlichen Permutation 7 Ti arbeitet die gemischte Zeilen- 
Spalten-Transposition, frz. transposition double ( Givierge , Eyraud) 8 Bei 
ihr wird zuerst die Nachricht zeilenweise nach Maßgabe einer Permutation 
7 Ti hineingeschrieben , dann werden die Spalten wie vorhin umgeordnet nach 
Maßgabe einer Permutation 7 T 2 E 7 & , sodann wird spaltenweise die Geheim¬ 
nachricht herausgelesen : 
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Ebenso wird bei der gemischten Zeilen-Block-Transposition vorgegan¬ 
gen, jedoch wird die Geheimnachricht zeilenweise herausgelesen: 
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Der selbe Effekt kann erreicht werden, wenn 717 hinterher durchgeführt wird: 
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Bei der gemischten Zeilen-Spalten-Transposition oder Zeilen-Block-Trans¬ 
position mit quadratischer Anordnung kann man beide Male die gleiche Lo¬ 
sung verwenden: 7Ti = 7r2 . Setzt man aber 7Ti = nf 1 , so handelt es sich um 
die Methode, die Auguste Kerckhoffs 1883 den russischen Nihilisten zuschrieb 
(nihilist cipher). 

Zur mathematischen Behandlung dieser Transpositionen soll die Nachricht 
x stets durch eine Matrix X von l Zeilen der Länge k dargestellt sein. 
Zeilenpermutation bedeutet Multiplikation 

von links mit einer l x /-Permutationsmatrix : X 1 —► ttiX , 
Spaltenpermutation bedeutet Multiplikation 

von rechts mit einer k x fc-Permutationsmatrix 1^2 : X 1 —► Xtt 2 . 


Beachte den Unterschied im Französischen: double transposition (6.2.4), transposition 
double (6.2.3). 



6.2 Spalten-Transpositionen 101 


Letzteres ist gerade die Block-Transposition. Die Spalten-Transposition je¬ 
doch ergibt sich als eine Spaltenpermutation, gefolgt von einer Matrix-Trans¬ 
position . T (d.h. einem Würfel) 

X ^ (Xtt 2 ) T , 

somit auch als Zeilenpermutation mit 9 7 r^ 1 , angewandt auf die transponierte 
Matrix X T : 

X i-> 7T^X T . 

Eine gemischte Zeilen-Block-Transposition stellt sich dar als 
X i-> (ttiX)7T2 = 7ri(X7r 2 ) . 

Eine gemischte Zeilen-Spalten-Transposition stellt sich dar als 

X i-> ((7nX)7r 2 ) T = 7T 2 “ 1 X T 7r 1 “ 1 . 

Im Fall 7Ti = 7 r _1 , 7 t 2 — Tr der Nihilisten-Methode wird die gemischte 
Zeilen-Block-Transformation zur Ähnlichkeitstransformation 

X I —> , 

die gemischte Zeilen-Spalten-Transposition ergibt hingegen 
X \-± 7r _1 X T 7r . 

6.2.4 Die doppelte Spalten-Transposition (,DoppelwürfeP, engl, double 
columnar transposition , frz. double transposition) wendet zweimal Spalten¬ 
transposition an. An sich müßte dabei jedesmal eine andere Losung verwen¬ 
det werden; dies geschieht bei quadratischer Anordnung nicht immer. 

Eine doppelte Spalten-Transposition mit quadratischer Anordnung ergibt 

X ((Xt r)V) T = (tt'^Xtt , 

ist also von einer gemischten Zeilen-Block-Transposition nicht zu unterschei¬ 
den 10 ; beide Verfahren können im Prinzip bereits mit den Methoden, die für 
einfache Spaltentransposition geeignet sind, gebrochen werden. 

Die quadratische Anordnung lag auch vor bei der Version der amerikanischen 
Armee ( ( U.S. Army Double Transposition ’), die doppelte Spaltentransposi¬ 
tion mit einer einzigen Losung 11 verwendete. Gleichermaßen verfuhr man 
beim kaiserlichen Heer, das das Verfahren arglos verwendete die Franzo¬ 
sen unter dem damaligen Capitaine Frangois Cartier nannten es übchi und 
lasen bis zum 18. November 1914 mit. 

Erstaunlicherweise hatte die deutsche Wehrmacht nichts daraus gelernt und 
kehrte zu ihren Sünden zurück: Von Kriegsausbruch bis 1. 7.1941 und wieder 
ab 1.6.1942 diente die doppelte Spaltentransposition mit täglich wechselnder 
Losung beim Heer als „Handschlüsselverfahren“, das vom Regiment abwärts 

9 Da eine Permutationsmatrix orthogonal ist, ist nf = tt^ 1 . 

10 Beide werden wesentlich durch ein Kreuzprodukt tt 1 x 7Tfc dargestellt. 

11 Es handelt sich also ebenfalls um eine Ähnlichkeitstransformation. 
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verwendet wurde, und bei der Marine als „Reserve-Handverfahren“ (Not¬ 
schlüssel). Diesmal lasen die Briten mit. Die Verwendung zweier verschie¬ 
dener Losungen hatte den Einbruch nicht verhindert, auch dreifache Spal¬ 
tentransposition hätte da nichts genützt: Die einschlägige Methode, das 
„multiple Anagrammieren“ (21. Kapitel), war davon völlig unabhängig. 
Doppelte Spaltentransposition wurde im 2. Weltkrieg auch von den Agenten 
der britischen Spionage- und Sabotageorganisation Special Operations Exe¬ 
cutive (S.O.E.) verwendet. Darüber hat neuerdings Leo Marks berichtet. 

6.2.5 Eine echte Komplikation für die unbefugte Entzifferung von einfachen 
Transpositionen ist die Einführung von unregelmäßig verstreuten Plätzen, 
die nicht beschrieben werden dürfen: PA-K2-System, Japan 1941; Heft¬ 
schlüsselverfahren der deutschen Wehrmacht (1937), das ein 13xl3-Raster 
mit 10 freien Plätzen pro Zeile und Spalte benützt; sowie der sogleich zu 
besprechende Rasterschlüssel 44 der Deutschen Wehrmacht, ab März 1944. 



Abb. 45. Rasterschlüssel 44 der Deutschen Wehrmacht (März 1944) 

Die USA brachen die PA-K2-Chiffrierung regelmäßig, wenn auch oft mit 
ziemlicher Verzögerung. Dem Rasterschlüssel 44 ging es nicht viel besser, 
da die Briten nach der Landung in der Normandie eine Menge Unterlagen 
erbeuteten. Immerhin hatten nicht nur die Briten in Bletchley Park ihre Pro¬ 
bleme, auch die Deutschen mußten das komplizierte Verfahren erst erlernen. 
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Abb. 45 gibt ein Beispiel aus der Schlüsselanleitung, Ausgabe 27. März 1944 
für das von den Briten crossword puzzle genannte Verfahren: Der Klartext 
Feind greift seit 11.45 Uhr bei Orchejow mit 8 Panzern nach Südwesten an 

wurde zunächst vorschriftsgemäß aufbereitet, wobei ch durch q ersetzt wurde 
und der Ortsname, in aa und ee eingeschlossen, verdoppelt und überchiffriert 
wurde mit einem ,Ortsnamenalphabet c , hier 

abcdef ghi j kl mnopqrst uvwxyz 
nml yaxwf uqtdzri vkgeopj shbc, 

Orjechow ergibt so igqalfis, insgesamt entsteht der Text 

feindgreiftseitelfxvierfuenfuhrbeiaaigqalfisigqalfiseemitaqtpanznaqsuedwestan 

der aus 77 Zeichen besteht (Grenzen: mindestens 60, höchstens 200 Zeichen). 

Die Eintragung der Nachricht auf die freien Plätze (10 pro Zeile bei maximal 
24 Zeilen) der täglich wechselnden Rasterschablone erfolgt zeilenweise; das 
Anfangsfeld wird willkürlich gewählt — etwa Spalte bb lind Zeile ae. 

Diese Schlüsselvereinbarung wird der Nachricht in einem Spruchkopf vor¬ 
ausgeschickt, der neben dem Klarspruchschlüssel bbae, nach einer auf der 
Rückseite der Schablone befindlichen Tabelle homophon chiffriert, auch die 
taktische Zeit und die gesamte Zeichenanzahl des Spruchs enthält, also etwa 
1203-77-tuzd lautet. 

Aus der Minutenzahl und der Zeichenanzahl wird die Quersumme gebildet 
— hier 0+3+7+7= 17 — und von der Anfangsspalte bb um eben so viele 
Spalten — hier 17 — weitergezählt. Dies ergibt hier ee, und mit dieser Spalte 
beginnt das der vorgegebenen Spaltennumerierung folgende Herauslesen des 
zu übermittelnden Chiffrats, das da lautet 

1203-77-tuzd 

dianm rqtvf nnris iffgp uefzg naeeh aeuta iiead 
agqql wibsf fxuti teeaa eniqs sirli efese lt 

Man überzeugt sich leicht, daß die Dechiffrierung durch Umkehrung der Rei¬ 
henfolge der geschilderten Schritte eindeutig bestimmt ist. 

6.2.6 Viele Möglichkeiten gibt es für die Gewinnung der bei der Transposi¬ 
tion benutzten Permutationen aus Kennwörtern, vor allem aus Merkworten 
oder -versen. Eine in der Literatur häufig erwähnte geht wie folgt vor: 

Man ordnet jedem Buchstaben des Kennworts die Platznummer zu, die es in 
der alphabetischen Rangfolge hat: 

MA CB ETH 
6 1 3 2 4 7 5 

Das geht jedoch nur, wenn das Kennwort keine wiederholten Buchstaben hat. 
Andernfalls wird das Verfahren geringfügig modifiziert: Wiederholt auftre¬ 
tende Buchstaben werden konsekutiv numeriert: 

A M B A S S AD ED A L L E M A G N E 
1 15 6 2 18 19 3 7 9 8 4 13 14 10 16 5 12 17 11 
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6.3 Anagramme 

Transposition läßt den Zeichenhaufen 12 einer Nachricht unverändert. Beim 
Anagramm sucht man aus dem Zeichenhaufen die Nachricht zu rekonstru¬ 
ieren. Eine systematisches Lösungsverfahren würde alle Transpositionsver¬ 
fahren wertlos machen. 

6.3.1 Huyghens gab folgendes Anagramm 

a 7 c 5 d 1 e 5 g 1 h 1 i 7 l 4 m 2 n 9 o 4 p 2 q 1 r 2 s 1 t 5 u 5 , 
woraus man 'annulo cingitur tenui plano, nusquam cohaerente, ad eclipticam 
inclinato 7 („[Saturn] ist umgeben von einem dünnen flachen Ring, der ihn 
nirgendwo berührt und zur Ekliptik geneigt ist“) erhalten kann. 

Newton schrieb an Leibniz 

a 7 c 2 d 2 e 14 f 2 i 7 l 3 m 1 n 8 o 4 q 3 r 2 s 4 t 8 v 12 x 1 , 
was als 'data aequatione quodcumque ßuentes quantitates involvente, fluxio- 
nes invenire et vice versa’ („aus einer beliebig viele Fluenten enthaltenden 
Gleichung die Fluxionen zu finden und umgekehrt“) gedeutet wird. 

Anagramme waren unter Wissenschaftlern des 17. Jahrhunderts sehr behebt, 
was vielleicht mit der Vorliebe, die Amateure bis heute für Transposition 
hegen, zusammenhängt. Galilei schrieb an Kepler ein maskiertes Anagramm: 

HAEC IMMATURA A ME IAM FRUSTRA LEGUNTUR O. Y. 

(„Diese unreifen Dinge lese ich vergeblich“), was bedeuten soll ‘cynthiae 
ßguras aemulatur mater amorum ’ („Die Mutter der Liebe [= Venus] ahmt 
die Phasen der Cynthia [= Mond] nach“). 

Wissenschaftler achteten damals sehr auf Priorität: Noch Carl Friedrich Gauß 
publizierte am 25. April 1812 ein ihm wichtig genug erscheinendes Ergebnis 
über die Störungen der Jupiterbahn durch den kleinen Planeten Pallas durch 
die vermutlich binär zu verstehende Chiffre IIIIOOOIOOIOIOOI. 

Ludwig II. von Bayern schrieb das (nicht tiefliegende) maskierte Anagramm 
MEICOST ETTAL, was als T etat c’est moi zu lesen ist. 

Ein modernes Beispiel ist ASTRONOMERS, was als moon Starters , aber auch 
als no more stars gelesen werden kann. 

Auch die pharmazeutische Industrie kennt Anagramme: Hinter dem Waren¬ 
zeichen KLINOMYCIN® (Lederle) verbirgt sich der Wirkstoff Minocyclin. 
In der experimentellen Lyrik findet man Anagramm-Gedichte wie 13 
Glück und Sommer weinen Wade, Röhricht neu, 

Rad und Röcke suchen Note: Glühweinwimmern. 

Randenhügel, Wut und Nock: wie Öre schimmern. 

Wandertürme, Gnom in Köchern wund, eil scheu. 

vom Typ a 1 c 2 d 2 e 5 g 1 h 2 i 2 k 1 l 1 m 2 n 4 o 1 r 3 s 1 t 1 u 2 w 2 ö 1 ü 1 . 


12 d.h. Wiederholungen mitgerechnet. Die Aussage ist auch richtig für Zeichenmengen. 

13 Francesco Gagliardi. 
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Unter britischen Intellektuellen sind Anagramme auch heute noch beliebt 
(Abb. 46). Sie finden sich weiterhin in Berufsrätseln: 


IRI BRATER, GENF 
FRANK PEKL, REGEN 
PEER ASTIL, MELK 
INGO DILMUR, PEINE 
EMIL REST, GERA 
KARL SORDORT, PEINE 
GUDRUN SCHRILL, HERNE 


Briefträgerin 

Krankenpfleger 

Kapellmeister 

Diplomingenieur 

Lagermeister 

Personaldirektor 

Grundschullehrerin 


6.3.2 Die Frage drängt sich auf, ob man nicht aus einem Haufen von Buch¬ 
staben auch mehrere Nachrichten gewinnen kann. Schon Jonathan Swift 
beschäftigte sich damit, als er in seiner Satire ,Gullivers Reisen 6 darauf hin¬ 
wies, ein böser politischer Gegner könnte aus einem so harmlosen Satz wie 
OUR BROTHER TOM HATH JUST GOT THE PILES durch die 6 Anagrammat ick 
Method 1 herauslesen Resist, — a Plot is brought home — The Tour. 

In der Tat zeigt die Erfahrung, bestätigt durch Shannons Theorie, daß es für 
ein Anagramm keine Unizitätslänge gibt. 


admonition 

domination 

alarmingly 

marginally 

algorithms 

logarithms 

alienators 

senatorial 

ancestries 

resistance 

antagonist 

Stagnation 

auctioning 

cautioning 

australian 

saturnalia 

broadsides 

Sideboards 

catalogued 

coagulated 

catalogues 

coagulates 

certifying 

rectifying 

collapsing 

scalloping 

compressed 

decompress 

configures 

refocusing 

conserving 

conversing 

contenting 

contingent 

coordinate 

decoration 

countering 

recounting 

creativity 

reactivity 

dealership 

leadership 

decimating 

medicating 

decimation 

medioation 

deductions 

discounted 

denominate 

emendation 

denotation 

detonation 

denouncers 

uncensored 

deposition 

positioned 

descriptor 

predictors 

directions 

discretion 

discoverer 

rediscover 

earthiness 

heartiness 

egocentric 

geocentric 

enduringly 

underlying 

enervating 

venerating 

enervation 

veneration 

excitation 

intoxicate 

filtration 

flirtation 

harmonicas 

maraschino 

impregnate 

permeating 

impression 

permission 

impressive 

permissive 

indescreet 

iridescent 

introduces 

reductions 

mouldering 

remoulding 

nectarines 

transience 

ownerships 

shipowners 

percussion 

supersonic 

persistent 

prettiness 

persisting 

springiest 

pertaining 

repainting 

petitioner 

repetition 

platitudes 

stipulated 

positional 

spoliation 

procedures 

reproduces 

profounder 

underproof 


Abb. 46. Zehn-Buchstaben-Wort-Anagramme (nach Hugh Casement) 


Zur Historie wäre noch anzumerken, daß sich eine erste Frühform der Trans¬ 
position im griechischen Skytale (anvraXe), bereits aus dem 5. Jahrhundert 
v. Chr. bekannt, findet: Ein Stab, um den ein Pergamentstreifen gewickelt 
wird, auf den die Nachricht — der Länge des Stabes nach — geschrieben 
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wird. Nach dem Niedergang der klassischen Kultur findet sich die erste Chif¬ 
frierung durch Transposition in mittelalterlichen Mönchshandschriften, wie 
Bernhard Bischoff erforscht hat: Krebs und senkrechte Schrift, gelegentlich 
in Verbindung mit Wortspielen. 

Transposition erfreute sich in unserem Zeitalter keiner großen Beliebtheit 
mehr. Der Grund liegt in Schwierigkeiten der Mechanisierung: Man braucht 
große Speicher, um effektiv mit Transposition verschlüsseln zu können. Mit 
der Verfügbarkeit von Halbleiterspeichern für Millionen von Bits, mit kurzer 
Zugriffszeit, kann sich das jedoch bald ändern. Das 21. Jahrhundert wird eine 
Rückkehr der Transposition zu ihrer wahren Wichtigkeit sehen. 



7 Polyalphabetische Chiffrierung: 

Begleitende und unabhängige Alphabete 


Monoalphabetische Chiffrierung benutzt irgend einen (womöglich polygraphi¬ 
schen) Chiffrierschritt ständig. Alle im 3. bis 6. Kapitel behandelten Chiffrier¬ 
schritte können monoalphabetisch verwendet werden — das wurde in den 
Beispielen auch stillschweigend angenommen. 

Eine echte polyalphabetische Chiffrierung erfordert, daß das Chiffrierschritt- 
System M mindestens die Kardinalität 6 = 2 hat, d.h. daß die Menge M 
der verfügbaren Chiffrierschritte mindestens zweielementig ist. Für den häufi¬ 
gen Fall 6 = N spricht man von einer chiffre carre. 

Die einzelnen Chiffrierschritte können verschiedenster Natur sein; so könnte 
das Chiffriersystem M beispielsweise eine Anzahl einfacher Substitutionen 
und eine Anzahl Transpositionen der Breite 4 umfassen. In der Regel verlangt 
man aber, daß alle Chiffrierschritte ein und der selben Klasse angehören 
beispielsweise der Klasse der Substitutionen, oder der linearen Substitutio¬ 
nen, oder der Transpositionen. Oft wird auch verlangt, daß alle Chiffrier¬ 
schritte gleiche Chiffrierbreite besitzen, was zur Blockchiffrierung führt. 

Das Hauptproblem ist, auf einfache Weise viele verschiedene Chiffrierschritte 
festzulegen oder, wie man sagt, viele verschiedene Alphabete zu erzeugen. 
Erstaunlicherweise hat die Phantasie der Erfinder dabei noch vieles offen 
gelassen. 

7.1 Potenzierung 

Es hegt nahe, das Chiffriersystem dadurch aufzubauen, daß man aus einem 
Grundschritt andere Chiffrierschritte ableitet. Insbesondere für eine einfache 
Substitution haben wir in 3.2.4 bereits Familien von begleitenden Alphabe¬ 
ten angetroffen, nämlich durch ,Verschiebung‘ und durch ,Potenzierung‘ ent¬ 
stehende. Wir beschränken uns auf den endomorphen Fall V = W, m = n . 
Wir werden sehen, daß diese beiden Familien mittels des Begriffs der ite- 
rierten Substitution S 2 entstehen, definiert durch pS^ 1 = pS S J für eine 
endomorphe Substitution S . In der Tat, iterierte Substitution ist vorherr¬ 
schend bei der Erzeugung begleitender Alphabete. 
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7.1.1 Sei allgemein S : Q n -< — yQ n . Zur Gewinnung von Familien beglei¬ 
tender Chiffrierschritte kennen wir also bereits 

{ S l : i G N } , die Gruppe der potenzierten 5- Alphabete. 

Mit festen Substitutionen P\ : V-< — yQ n und P 2 : bieten sich 

an die Mengen von Chiffrierschritten 

a) { P 1 S i P 2 : i e IN } , wo PiS i P 2 : —yW . 

Ferner haben wir mit einer weiteren festen Substitution R : Q n -< — yQ n 
{ S~ l RS l : i e IN }, die Gruppe der S'-Ähnlichkeiten von R. 

Wieder bieten sich mit Substitutionen P\ : V- 4 — >-Q n und P 2 : Q n -<—>-W 
an die Mengen von Chiffrierschritten 

b) { P 1 S~ i RS i P 2 : i e N } , wo P\S~ i RS i P 2 : . 

Die Mengen sind jedenfalls endlich, denn Q n -< —^ Q n mit endlichem | Q |= N 
umfaßt nur ( N n )! verschiedene Permutationen. 

Ist S von der Ordnung h < ( N n )!, d.h. ist S h = I und S l 7 ^ I für 
i < h , so liefert die Potenzierung h verschiedene Alphabete. Beachte, 
daß h > N n möglich ist: Für N = 5, n = 1 ist die Substitution (in 
Zyklenschreibweise) ( ab)(cde ) von der Ordnung 6 . h kann aber auch recht 
klein sein: Ist S involutorisch, so liefert die Potenzierung außer I keinen 
begleitenden Chiffrierschritt. 

7.1.2 Vorteilhaft mag es sein, für S eine voll zyklische Permutation a zu 
wählen. Eine solche Permutation ist von der Ordnung N n . Es gibt ( N n — 1 )! 
verschiedene voll zyklische Permutationen. Die reine Potenzierung kann in 
diesem Fall, wie schon in 3.2.8 (Abb. 28) erwähnt, durch eine einzige Scheibe 
(oder ein einziges Lineal) mit dem Zyklus a und zwei Fenster — ein Klartext¬ 
fenster und ein Geheimtextfenster — mechanisiert werden. Man wird dabei, 
wenn N von der Größenordnung 25 ist, über n — 2 kaum hinausgehen. 

7.2 Verschobene und rotierte Alphabete 

Hat man in Q ein Standardalphabet ausgezeichnet, so ist auch in Q n durch 
die lexikographische Ordnung ein Standardalphabet bestimmt. Mit p soll 
speziell der dazu gehörige Zyklus (3.2.3) des Standardalphabets bezeichnet 
werden. Es ist also in 7.1.1 S — p und S l = p 1 . 

7.2.1 { p l : i £ DN } = { p l p : i G IN } = { pp 1 : i G IN } wird speziell als 

Menge der verschobenen Standardalphabete, frz. alphabets 
normalement paralleles bezeichnet. 

Allgemeiner, wenn nur eine Substitution/Permutation P („P-Alphabet“, 
Referenzalphabet, engl, primary (mixed) alphabet ) frei gewählt wird: 
a 7 ) { p l P : i £ IN } und a") { Pp 1 : i E IN } wird als 

Menge der (horizontal bzw. vertikal) verschobenen P- Alphabete, 
frz. alphabets desordonnes paralleles bezeichnet. Für den allgemeinen 
Fall { P\p l P 2 : i G IN } von 7.1.1 a) siehe 8.2.3 (und 19.5.3). 
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Die Bezeichnungen werden klar, wenn man einen Blick wirft auf die nachfol¬ 
genden Tafeln für die Familien von Substitutionen: Mit V = Q = W = Z 2Q 
und N = 26, für das durch das Kennwort NEWYORKCITY erzeugte 
Referenzalphabet P , 

abcde fghi jklmnopqr stuvwxy z 
NEWYORKCI TABDFGHJ LMPQS UVXZ 

ergibt die Menge { p l P : i gHN} die folgende Tafel (in der Form einer tabula 
recta , d.h., mit identischen Buchstaben längs der Gegendiagonalen) 

i abcde fghi jklmnopqr stuvwxy z 

0 NEWYORKCITABDFGHJLMPQSUVXZ 

1 EWY ORKCITABDFGHJ LMPQSUVX Z N 

2 WYORKC I TA BDFGH J LMP Q SUVX Z N E 

3 YORKC I TABDFGHJLMPQSUVXZNEW 

4 ORKC I TABDFGHJ LMPQ S UVXZ NEWY 

5 RKCITABDFGHJLMPQSUVXZNEWYO 


25 ZNEWYORKCITABDFGHJ LMPQSUVX 
während die Menge { Pp 1 : i G IN} die folgende Tafel hat 

i abcde fghi jklmnopqr stuvwxy z 

0 NEWYORKCI TABDFGHJ LMPQS UVXZ 

1 OFXZP S LDJUBCEGHIKMNQRTUWYA 

2 PGYAQTMEKVCDFHI JLNORSUVXZB 

3 QH Z BRUNFLWDEG I JKMOPSTVWY AC 

4 R I ACSVOGMXEFHJKLNPQTUWXZ BD 

5 S J B DTWPHNYFG I KLMOQ RUVXYACE 


24 LCUWMP IAGRYZBDEFH JKNOQSTVX 

25 MDVXNQ JBHSZACEFGIKLOPRTUWY . 

Bei den horizontal verschobenen P -Alphabeten tritt das P -Alphabet in jeder 
Zeile in Erscheinung, von Zeile zu Zeile um eine Stelle nach links verschoben; 
bei den vertikal verschobenen P -Alphabeten ist das Referenzalphabet P nur 
in der ersten Zeile erkennbar, dafür tritt das Standard-Alphabet vertikal auf. 

7.2.2 { p~ l Rp l : i G UN } ist die 

Menge der R- rotierten (zu R ,ähnlichen‘) Standardalphabete 
(die Bezeichnung wird in 7.3 motiviert werden) 

Etwas allgemeiner, für den besonderen Fall P\ — P , P 2 — P~ x von 7.1.1 b): 

b*) { Pp~ l Rp l P~ l : i G UN } ist die 

Menge der R-rotierten P- Alphabete. 









110 1 Polyalphabetische Chiffrierung: Alphabete 


Nimmt man für R das zum selben Kennwort NEWYORKCITY gehörige 
Referenzalphabet wie oben, so ergibt die Menge { p~ l Rp l : i E IN } die Tafel 


i abcdefghijklmnopqrstuvwxy z 

0 NEWYORKC I TABDFGHJ LMPQSUVX Z 

1 AOFXZPS LDJUBCEGHIKMNQRTVWY 

2 Z B PGYAQTMEKVCDFH I JLNORS UWX 

3 YACQHZBRUNFLWDEGI JKMOPS TVX 

4 YZ BDRI ACSVOGMXEFHJKLNPQTUW 

5 XZ ACES J BDTWPHNYFGIKLMOQRUV 


21 M F X DOVWY A B C E G HKL N P Q S U I Z R T J 

22 KNGYEPWXZBCDFHILMOQRTVJ A S U 

23 VL OHZFQ XYACDEGI JMNPRSUWK B T 

24 UWMPIAGRYZBDEFHJKNOQSTVXLC 

25 DVXNQJ BHSZACEFGIKLOPRTUWYM 


Bei den R-rotierten P-Alphabeten tritt das Referenzalphabet R nur in der 
ersten Zeile auf, und wird längs der Diagonalen in der Reihenfolge von P 
fortgesetzt (,diagonal verschobene Standard- bzw. P-Alphabete‘). 

7.2.3 Die Familie der horizontal verschobenen P- Alphabete kann mechani¬ 
siert werden, wie in 3.2.7 (Abb. 26) gezeigt, durch eine Alberti- Scheibe, die 
(außen) das Standardalphabet und drehbar (innen) das permutierte Alpha¬ 
bet P tragt oder durch einen Schieber, wobei eines der Alphabete wiederholt 
werden muß.. Wir werden deshalb kurz von ALBERTI-Chiffrierschritten 
im Falle der horizontal verschobenen P- Alphabete, und entsprechend von 
ROTOR-Chiffrierschritten im Falle der R-rotierten Standardalphabete 
oder P- Alphabete sprechen. 


7.2.4 Die Zyklenzerlegung der begleitenden Alphabete ist interessant. 


Beispiel: Für Q = 
ergibt sich 


(badec) = ( a b ) ( C d e ) und £ = ( abcde P 


pQ 


abcde \ /bcdea 
bcdea lADECB 


abcde 

ADECB 


Qp = 


abcde 

BADEC 


B ADEC \ 
CBEAD ) 


abcde 

CBEAD 


P 1 Qp = 


abcde 
e a b c d 


e a b c d 
DCBEA 


abcde) 
DCBEA ) ‘ 
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In der Substitutionsschreibweise lauten die Alphabete in diesem Beispiel 


i 

a 

b 

c 

d 

e 

i 

a 

b c 

d 

e 

i 

a 

b 

c 

d 

e 

0 

B 

A 

D 

E 

C 

0 

B 

AD 

E 

C 

0 

B 

A 

D 

E 

C 

1 

A 

D 

E 

C 

B 

1 

C 

B E 

A 

D 

1 

D 

C 

B 

E 

A 

2 

D 

E 

C 

B 

A 

2 

D 

CA 

B 

E 

2 

B 

E 

D 

C 

A 

3 

E 

C 

B 

A 

D 

3 

E 

DB 

C 

A 

3 

B 

C 

A 

E 

D 

4 

C 

B 

A 

D 

E 

4 

A 

EC 

D 

B 

4 

E 

C 

D 

B 

A 


In der Zyklenschreibweise erhält man 

als Menge der horizontal verschobenen P-Alphabete 

{ (a b)(c d e) , (a)(b d c e) , (a d b e)(c) , (a e d)(b c) , (a c)(b)(d)(e)} , 
als Menge der vertikal verschobenen P -Alphabete 

{ (a b)(c de), (a c e d)(b) , (a d b c)(e) , (a e)(b d c) , (a)(b e)(c)(d)} , 
als Menge der R -rotierten Standardalphabete 

{ (a b)(c de), (b c)(d e a) , (c d)(e ab), (d e)(a b c) , (e a)(b cd)}. 

Ans der Grnppentheorie weiß man, 1 daß eine Ahnlichkeitstransformation 
p~ l Qp l die Länge der Einzelzyklen einer Permntation Q invariant läßt. Alle 
Substitutionen aus der Familie der begleitenden P-rotierten P-Alphabete 
besitzen also ein und die selbe Zyklenzerlegung. Man hat das den 

Hauptsatz der ROTOR-Chiffrierung 

genannt. 

Für die (horizontal oder vertikal) verschobenen P-Alphabete trifft solches 
nicht zu. 

In unserem Fall ist die Partition, die zu der Zyklenzerlegung gehört, 3 + 2 . 
Im Beispiel von 7.2.2 ist die Partition 10 + 8 + 6 + 1 + 1, sie gehört zu der 
Zyklenzerlegung (a n f r 1 b e o g k) (c w n q j t p h ) (d y x v s m ) (i) (z) . 

7.2.5 Die Anzahl verschiedener verschobener P-Alphabete ist N n . Die An¬ 
zahl verschiedener P-rotierter Alphabete liegt zwischen 1 und N n , abhängig 
von R. Für R = I , die Identität, beträgt sie 1. Sie beträgt N n , wenn 
p J P / RpP für j = 1 , 2 , ... , N n — 1 , denn dann sind alle P-rotierten 
Alphabete paarweise voneinander verschieden. 

Für kleine Werte von N n gibt es nur wenige Rotoren P , die diese Bedingung 
erfüllen: 

Für N n = 4 und p = (a b c d) gibt es vier viergliedrige Rotorfamilien: 

{ (a b), (b c), (c d), (da)} , { (a c b d), (b d c a), (c a d b), (d b a c) } , 

{ (a c b), (b d c), (c a d), (d b a) } , { (ab c), (b c d), (c d a), (d a b) } ; 

für N n = 3 und p = (a b c) nur eine dreigliedrige: { (ab), (b c), (c a) } . 
Für N n = 2 gibt es keine zweigliedrige Rotorfamilie. 


1 siehe etwa Garrett Birkhoff und Saunders MacLane, A Survey of Modern Algebra, Mac- 
millan, New York 1965, S. 135. 
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7.3 Rotor-Maschinen 


Seit dem Aufkommen elektrischer Schreibmaschinen werden auch elektrische 
Chiffriergeräte verwendet. Zur elektrischen Kontaktrealisierung einer festen 
Substitution P dient ein Schaltkasten P mit N Eingangsbuchsen für die 
Klartextzeichen und N Ausgangsbuchsen für die Geheimtextzeichen, intern 
verbunden durch N Leitungsdrähte, Abb. 47 (a). 



Abb. 47. Feste Permutation, Verschiebung und Rotierung 
als elektrische Kontaktschaltung 


Zum Zwecke einer elektrischen Kontaktrealisierung von begleitenden verscho¬ 
benen P- Alphabeten Pp 1 kann man hinter die ausgangsseitigen Buchsen des 
Schaltkastens P eine verschiebbare Kontaktleiste setzen, oder den Schaltka¬ 
sten P verschiebbar machen, Abb. 47 (b). In jedem Fall muß man flexible 
LeitungsVerbindungen vorsehen, was zu einem Abnutzungsproblem führt. 

Dies vermeidet man, wenn man zunächst je eine verschiebbare Kontaktleiste 
eingangsseitig und ausgangsseitig anbringt und beide starr koppelt. Es ist 
stattdessen auch möglich, auf flexible Leitungsverbindungen zu verzichten, 
indem man P verschiebt, Abb. 47 (c). Ohne Duplikation der ein- und aus¬ 
gangsseitigen Kontakte kommt man aus, wenn man eine drehbare Kontakt¬ 
scheibe (, Walze*), einen Rotor, benutzt. Man erhält dadurch eine elektrische 
Kontaktrealisierung von begleitenden, rotierten R- Alphabeten p~ l Rp l . 

Wenn man allerdings ausgangsseitig Schleifringe benutzt, kann man auch 
begleitende verschobene P-Alphabete Pp 1 elektrisch realisieren. Für diese 
Anordnung ist der Ausdruck Halbrotor gebräuchlich geworden (Abb. 48). 

7 . 3.1 Die Idee des Rotors kommt vor 1920 an vier Stellen unabhängig 
auf. Folgt man Kahn , so geht aus Unterlagen eines Patentstreits hervor, daß 



7.3 Rotor-Maschinen 113 



Abb. 48. Halbrotor nach Arvid Damm 

1917 der Amerikaner Edward Hugh Hebern (1869-1952) als erster die Idee 
hatte; das U.S. Patent (1510441) wurde allerdings erst 1924 erteilt. Dicht auf 
folgt jedenfalls der Deutsche Arthur Scherbius (Patentanmeldung 23. 2.1918, 
Deutsches Patent 416 219), später fast im Toten Rennen der Niederländer 
Hugo Alexander Koch (1870-1928), Patentanmeldung 7.10.1919 und der 
Schwede Arvid Gerhard Damm , Patentanmeldung 10.10.1919. 2 Damm ver¬ 
wendete ,Halbrotoren‘ mit Schleifringen, die eigentlich verschobene Alpha¬ 
bete nachbilden, paarweise für Polybius-Chiffrierungen. In den Scherbius- 
Patenten sind auch Rotoren mit 10 Kontakten, geeignet für die Überchiffrie¬ 
rung numerischer Codes, als Beispiele aufgeführt. 

Es lag nahe, mehrere Rotoren hintereinanderzuschalten, wie es Scherbius in 
seiner Patentanmeldung von 1918 vorsah.. Hebern verwendete fünf Roto¬ 
ren (von denen zwei feststehend waren), Scherbius in den ersten Modellen 
ENIGMA A und ENIGMA B vier Rotoren (,Durchgangsräder‘). Im letzte¬ 
ren Fall ergibt sich die Familie {R^,^,^,^)} m it 

R(ii,i 2 ,i 3 ,u) = P~ n Rn p ll ~ 12 Rm p l2 ~ 13 Rl p l3 ~ u R k p u , 

die bei geeigneter Wahl von Rk, Rl, Rm, Rn 26 2 3 4 = 456 976 Mitglieder hat. 

7.3.2 Später, beginnend mit der ENIGMA C von 1926, hatte Scherbius ’ Mit¬ 
arbeiter Willi Korn 3 (Patentanmeldung 21.3.1926, Deutsches Patent 452 194) 
die anscheinend schlaue Idee, eine Umkehrscheibe 4 einzuführen. Mit drei 
nunmehr auswechselbaren Rotoren Rl , Rm , Rn und einer echten involutori- 
schen Substitution U (bei geradem N) entsteht die Familie {P(i 1 ,i 2 ,i 3 )}'> wo 

R(i 1,12,13) = R(Ä$ 2 ,i 3 ) R *^(ii,i 2 ,i 3 ) Un( ^ 

s (ii42,i3) = P~ h r n P h ~ i2 Rm P i2 ~ is Rl P is • 


2 Keinem dieser Erfinder brachte die Erfindung Reichtum und Glück. Hebern wurde von 
der U.S. Regierung sehr schofel behandelt. Koch starb schon 1928, nachdem Scherbius' 1 
Firma seine Patente gekauft hatte. Scherbius (30.10.1878 - 13. 5.1929) erlag einem 
tödlichen Unfall, sein Unternehmen in Berlin firmierte weiterhin als Heimsoeth Rinke 
bis 1945. Damm , der ein homme galant war, starb 1928, seine Firma wurde von Boris 
Hagelin (2. 7.1892 - 7. 9.1983) übernommen, der die Halbrotoren 1935 aufgab und 1939 
die Firma in Aktiebolaget Ingenjörsfirmen Cryptoteknik umbenannte. 

3 Korn reichte vor 1930 eine Reihe von Patenten ein und gab der ENIGMA viel von ihrer 
modernen Form. Korn meldete noch am 5. März 1930 ein deutsches Patent an, dann 
verliert sich in Berlin seine Spur. 

4 ,Umkehrwalze 4 , im Englischen oft Umkerwaltz genannt, spaßeshalber auch Uncle Walter. 
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Sämtliche Elemente dieser Familie sind nun echte involutorische Substitutio¬ 
nen. Dies war als Vorteil gedacht, weil zwischen Chiffrierung und Dechif¬ 
frierung kein Umschalten erforderlich war; es sollte sich aber als schwerer 
Nachteil herausstellen (vgl. 11.2.4, 14.5.1, 19.7.2). Der Umstand, daß nun¬ 
mehr der Stromlauf durch sechs statt durch drei Rotoren ging, wurde auch 
von einigen Leuten fälschlich als Erhöhung der kryptanalytischen Sicherheit 
gedeutet — die Ironie des Schicksals wollte es, daß es das Gegenteil war. 



+ 4 V 


Abb. 49. Stromlauf in einer 3-Rotor-ENIGMA für Taste e und Lampe M . 

Der Preis einer ENIGMA lag damals bei 600 Reichsmark. Abb. 49 zeigt den 
Stromlauf der elektrischen Realisierung für das Klartextzeichen e und das zu¬ 
gehörige Geheimtextzeichen M , S bezeichnet die Eingangsscheibe (,Stator 4 ). 
Die Umkehrscheibe U konnte in der ENIGMA C in zwei festen Stellungen 
eingesetzt werden. In der kommerziellen ENIGMA D von 1927 wurde sie wie 
die drei Rotoren einstellbar gemacht, sie sah wie ein viertes Durchgangsrad 
aus (,Umkehr walze 4 im engeren Sinn), wurde aber nicht mitbewegt. 

So entsteht die Familie {P(i 1 g 2 ,i 3 g 4 )} von echten Involutionen, wo 

P(ii,i2Ü3,U) = S(ii,i 2 ,i 3 ,i 4 ) U ^( 2 ^ 2 , 23 , 24 ) Un d 

= p~ 11 R n P <1_<2 Rm P i2 ~ 13 Rl P l3 ~ i4 . 

Die erstmals mit Reservewalzen ausgestattete ENIGMA D war weitverbrei¬ 
tet, sie ging nach Schweden, den Niederlanden, England, Japan, Italien, Spa¬ 
nien, U.S.A und wurde vom polnischen Chiffrierbüro legal gekauft. Sie wurde 
auch, wie ihr Nachfolgemodell ENIGMA K, 1938-1940 an die Schweizer Ar¬ 
mee verkauft (von den Amerikanern INDIGO genannt). In den späteren Mo¬ 
dellen für die Reichswehr, ab 1930, war die Umkehrwalze wieder fest (24 = 0 ). 

Der polnische Chiffrierdienst (Biuro Szyfröw ) üng bereits am 15. Juli 1928 
ENlGMA-chiffrierte Funksprüche auf. Die Reichsmarine experimentierte seit 
1925 mit einer 3-Rotor-ENIGMA („Funkschlüssel C“ von 1926), die 28 Kon¬ 
takte aufwies; ihr alphabetisch angeordnetes Tastenfeld hatte die zusätzli¬ 
chen Zeichen A, 0, U, wobei X unchiffriert blieb. Die Umkehrwalze konnte 
jetzt in vier festen Stellungen, mit a,/?, bezeichnet, eingesetzt werden. 
Um 1933 war auch eine Version des Funkschlüssel C mit 28 Alphabetzeichen 
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(zusätzlich: Ä, Ü) in Erprobung. 1933 traten geringfügige Änderungen im 
Funkschlüssel C in Kraft. In den Reichswehr-Modellen ENIGMA G (im Heer 
eingeführt am 15. 7.1928) und ENIGMA I (1930) waren wieder 26 Kontakte 
vorhanden und ein Tastenfeld, das bis auf die Lage des Buchstabens P der 
gewöhnlichen Schreibmaschinetastatur entsprach. Die Verbindung zu den 
Kontakten des Stators folgte der alphabetischen Ordnung. Die Umkehrwalze 
konnte nur in einer Stellung eingesetzt werden. Es gab auch eine ENIGMA II 
mit einem Schreibwerk, sie wurde als unpraktisch erachtet und wenig benutzt. 

Die am l.Juni 1930 eingeführte ENIGMA I (,eins 6 ) des Heeres, die später 
zur gemeinsamen ,Wehrmachts-ENIGMA 6 wurde, war durch ein zusätzliches 
,Steckerbrett 6 gesichert, das eine feste vorgeschaltete (unnötigerweise involu- 
torische) Substitution T , die Steckerverbindung, erlaubte. Dies ergibt die 

ENIGMA-Gleichung a = Pi T $ U Sg T“ 1 ( = Pi T P t T~ l ) , 
ein Zusammenhang zwischen Klartextzeichen Pi und Geheimtextzeichen q. 
Nach 2.6.3 sind CiTSi und PiTSiU isomorph: Es ist CiTSi —piTSi U . 

7 . 3.3 1934 einigten sich Kriegsmarine und Heer unter dem Druck von 

Oberst Erich Fellgiebel (1886-1944), später (ab 1939) Generalmajor und 
Chef des Wehrmacht-Nachrichtenverbindungswesens, zugleich Chef des Hee¬ 
resnachrichtenwesens, auf eine gemeinsame Version (Abb. 50a). Die drei aus¬ 
wechselbaren Rotoren zeigt Abb. 50b . 

Für die Marine-ENIGMA (,Funkschlüssel M 6 ) konnten die drei Rotoren ab 
1934, 1938, 1939 aus einem Satz von 5, 7 bzw. 8 Rotoren ausgewählt (und 
außerdem permutiert) werden. Sie waren mit den römischen Ziffern I bis 
VIII numeriert. Das Heer gab bis 15.12.1938 nur drei der vorgesehenen 
fünf Rotoren zur Benutzung frei. Auch die Luftwaffe führte 1935 für ihre 
,Luftnachrichtentruppe 6 die Wehrmachts-ENIGMA ein. 

Die Deutsche Reichsbahn, die Reichspost und die Polizei benutzten weni¬ 
ger sichere ältere Modelle ohne Steckerbrett, obwohl etwa Nachrichten über 
Eisenbahntransporte in Rußland für den Feind sehr aufschlußreich waren. 

Die mit ,A 6 bezeichnete Umkehrwalze der Wehrmachts-ENIGMA wurde am 
1.11.1937 durch eine Umkehrwalze ,B 6 ersetzt. 1941 wurde eine Umkehrwalze 
,C 6 eingeführt, eine Umkehrwalze ,D 6 mit variabler Verdrahtung trat erstmals 
am 2. Januar 1944 im Funkverkehr mit Norwegen auf. Die Verdrahtung wurde 
häuüg geändert (Abb. 51b). 

Die einzelnen Rotoren konnten in beliebiger Reihenfolge in die ENIGMA 
eingesetzt werden. Bis Ende 1935 war diese ,Walzenlage 6 und die Steckerver¬ 
bindung für drei Monate fest. Ab 1.1.1936 wechselten sie alle Monate, ab 
1.10.1936 jeden Tag. Später im 2. Weltkrieg, ab Mitte 1942, wurden sie alle 
8 Stunden gewechselt. Man fragt sich, warum nicht früher? 

Die Kriegsmarine war stets in Sorge um die Chiffriersicherheit der ENIGMA. 
Am 1.2.1942 wurde eine Version M4 der Marine-ENIGMA mit einem vierten 
Rotor (,Griechenwalze 6 ) ß eingeführt (Farbtafel I) und zunächst nur von 
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Abb. 50b. Die drei auswechselbaren Rotoren der Wehrmachts-ENIGMA (1937) 
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den Atlantik-U-Booten (Schlüsselnetz ,Triton 6 ) benutzt; dieser Rotor wurde 
während der Chiffrierung nicht fort bewegt. Am 1. 7.1943 wurde ein weiterer 
Rotor 7 eingeführt. Um die Verträglichkeit der 4-Rotor-ENIGMA mit der 3- 
Rotor-ENIGMA zu gewährleisten, wurde deren Umkehrwalze aufgespalten in 
eine ,dünne Umkehrscheibe 6 ,B dünn 6 oder ,C dünn 6 und den fest einstellbaren 
zusätzlichen Rotor ß oder 7 . Eine Aufspaltung der nicht mehr verwendeten 
Umkehrwalze ,A 6 erübrigte sich. 5 

Eine andere Erfindung, die Paul Bernstein schon für die ENIGMA A machte, 
wurde kein kryptologischer Reinfall: Der Ring, auf dem die Rotoreinstellung 
abgelesen werden konnte (,Sperr-Ring 6 ) war verstellbar, die Ringstellung 
(engl, ring setting , core-position ) konnte mit einem Stift fixiert werden. 

Abb. 51a zeigt ein Blatt aus der Dienstvorschrift für die ENIGMA der Wehr¬ 
macht mit den täglich wechselnden Walzenlagen, Ringstellungen und Stecker¬ 
verbindungen (,Tagesschlüssel 6 ). Die Grundstellung kennzeichnete die Ein¬ 
stellung der drei Rotoren zu Beginn eines Spruches. Die Kenngruppen hat¬ 
ten keine kryptologische Bedeutung. Abb. 51b zeigt Schlüsselunterlagen der 
Luftwaffe aus dem Jahr 1944, aus denen hervorgeht daß die Verdrahtung der 
Umkehrwalze ,D 6 alle 10 Tage und einige Steckerverbindungen alle 8 Stunden 
geändert wurden. Es gab zuletzt dafür auch eine ,Uhr 6 (Farbtafel M). 
ENIGMAs wurden beim Heer vom Regiment an aufwärts eingesetzt. Nach ei¬ 
ner hohen Schätzung ( Johnson ) wurden insgesamt 200 000, nach einer niedri¬ 
gen polnischen waren bereits 1938 mindestens 20 000 ENIGMAs in Gebrauch 
und bis Kriegsausbruch mindestens 40 000 . Knapp 100 000 dürfte richtig sein. 
Nach dem 2. Weltkrieg verkauften die Siegermächte erbeutete ENIGMA-Ma- 
schinen, die damals weithin noch als sicher galten, an Entwicklungsländer. 

7 . 3.4 Rotor-Maschinen wurden im 2. Weltkrieg auch in England gebaut. Die 
Maschine TYPEX war eine Fortentwicklung der ENIGMA, sie hatte u. a. eine 
Eingangs-Substitution, die nicht involutorisch war (s. 22.2.7). In den USA 
gab es unter dem Einfluß von William Friedman (1891-1969) und aufbauend 
auf den Arbeiten von Hebern in den frühen dreißiger Jahren eine unabhängige 
Linie von Rotor-Maschinen, die 1933 zur M-134-T2, sodann zur M-134-A 
(SIGMYC) und schließlich 1936 zur M-134-C (SIGABA) = CSP889 (ECM 
Mark II) führte. Es gelang den Deutschen offenbar kein Einbruch in die von 
William Friedman entworfene SIGABA, die von Frank Rowlett (1908-1998), 
der seit April 1930 sein Gehilfe war, wasserdicht gemacht worden war. 

Eine interessante Nachkriegsvariante der ENIGMA mit sieben Rotoren und 
einer festen Umkehrscheibe wurde von der italienischen Firma Ottico Mec- 
canica Italiana (OMI) in Rom gebaut und vertrieben. Die Schweizer Armee 
benutzte ab 1946 eine von Zellweger A.G., Uster gebaute ENIGMA-Variante 
NEMA mit zehn Walzen, von denen jedoch nur sechs zur Chiffrierung dienten, 
die übrigen lediglich zur unregelmäßigen Fortschaltung. 

5 J. Rohwer erwähnte 1978 eine Griechenwalze a , Deavours und Kruh (1985) folgten ihm. 

Dazu D. Kahn : “No a rotor was ever recovered”. In der Tat: an eine Aufspaltung der 

Umkehrwalze ,A‘, die 1937 aufgegeben worden war, zu denken, ergibt keinen Sinn. 
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Abb. 51a. Aus der Wehrmacht-Dienstvorschrift für die ENIGMA, datiert 8. Juli 1937. 
Die Einstellung der Ringstellung und der Walzenlage war einem Offizier Vorbehalten. 
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Fig. 51b. Schlüsselunterlagen nr 2744 für Luftwaffen-ENIGMA (1944) 


7.3.5 Die Substitutionen des Stators, der drei Rotoren und der Umkehrwalze 
der ENIGMA D sind (Cipher A. Devours , Louis Kruh ): 


Eingang 
Stator 
Rotor 1 
Rotor 2 
Rotor 3 
Umkehr walze 


abcde fghi j klmnopqr s tuvwxyz 
JWU LCMNOHPQZYX I RADKEGVBT S F 
LPGS ZMHAEOQKVXRFYBUTN I C J DW 
S LVGBTFXJ QOHEWI RZYAMKPCNDU 
CJGDPSHKTU RAWZ XFMYNQOBVL I E 
IMETCGFRAYSQBZXWL HKDVUPOJN 
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Die Substitutionen des Stators, der acht Rotoren und der beiden Umkehrwal¬ 


zen der Wehrmachts-ENIGMA sind (Ralph Erskine , Frode Weierud , Philip 
Marks, Heinz Ulbricht ): 


Eingang 


Stator 


Rotor 

I 

Rotor 

n 

Rotor 

m 

Rotor 

IV 

Rotor 

V 

Rotor 

VI 

Rotor 

vn 

Rotor 

vm 

Umkehrwalze A 

Umkehrwalze B 

Umkehrwalze C 

Rotor 

Beta 

Umkehrwalze B dünn 

Rotor 

Gamma 

Umkehrwalze C dünn 


abcde fghi j klmnopqr s tuvwxyz 
ABCDEFGH I JKLMNOPQRSTUVWX Y Z 
EKMF LGDQVZNTOWYHXU S PA I BRC J 
AJDKS I RUXBLHWTMC Q GZNPYFVOE 
BDFHJ LCPRTXVZNYE IWGA KMUS Q O 
ESOVPZJAYQUI RHXLNFTGKDC MWB 
VZBRGI TYUPSDNHL X AWMJ QO F E C K 
J PGVOUMFYQBENHZRDKASXL I C TW 
NZ J HGRCXMY SWBOUFA I VLPEKQDT 
FKQHTLXOCB J S PDZRAMEWN I UYGV 
EJMZALYXVBWFCRQUONTSPIKHGD 
YRUHQS LDPXNGOKMI EBFZ CWV J AT 
FVP J I AOYEDRZXWGCTKUQS BNMHL 
L E Y J V C N I XWP BQMDRTAKZGFUHOS 
ENKQAUYWJICOPBLMDXZVFTHRGS 
F S OKANUERHMBT I YCWLQPZXVGJD 
RDOB J NTKVEHML FCWZAXGY I PSUQ 


Beachte: Beta, gefolgt von B dünn, gefolgt von Beta x , ergibt B, 
beispielsweise Beta(a) = L , B dünn(L) = O , Beta -1 (o) = y, also B(a)=y . 


Die Substitutionen des Stators, der drei Rotoren und der Umkehrwalze der 


Reichsbahn-ENIGMA sind (David H. Hamer,Geoff Sullivan , Frode Weierud ): 


Eingang 

Stator 

Rotor I 

Rotor II 

Rotor DI 

Umkehr walze 


abcde fghi j klmnopqrstuvwxyz 
QWERTZUIOASDFGHJKPYXCVBNML 
J GDQOXU S CAMI FRVTPNEWKBL ZYH 
N T Z P S F B O KMWR CJD I VLAEYUXHGQ 
JVI UBHTCDYAKEQZPOSGXNRMW F L 
QYHOGNECVPUZTFDJ A XWM K I S R B L 


Die Substitutionen des Stators, der drei Rotoren und der Umkehrwalze der 


Schweizer ENIGMA K sind (David H. Hamer,Geoff Sullivan , Frode Weierud ): 
Eingang abcde fghi j klmnopqr s tuvwxyz 


Stator 

Rotor I 

Rotor II 

Rotor DI 

Umkehrwalze 


QWE RTZU I OASDFGHJKPYXCVBNML 
PEZUOHXSCVFMTBGLRI NQ JWAYDK 
ZOUE SYDKFWPC I QXHMVBLGN J RAT 
EHRVXGAOBQU S IMZFLY NWK T P D J C 
IMETCGFRAYSQBZXWL HKDVUPOJN 


Die Substitutionen des Stators, der drei Rotoren und der Umkehrwalze der 


Abwehr-ENIGMA (Nr. G-312) sind (David H.Hamer): 


Eingang 

Stator 

Rotor I 

Rotor n 

Rotor m 

Umkehrwalze 


abcde fghi j k lmnopqr s tuvwxyz 
QWE R TZU I OASDFGHJKPYXCVBNML 
DMTW S I LRUYQNKFEJ ZAZBPGXOHV 
HQZGPJTMOBLNC I FD YAWV E U S RKX 
UQNTL S ZFMREHDPXK I BVYGJ CWO A 
RULQMZ J SYGOCET KWD AHNBXPV I F 
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Die Rotoren der ENIGMA D und der Wehrmachts-ENIGMA weisen folgende 
Zyklenzerlegungen der Substitutionen auf, die die Identifizierung erleichtern: 


Stator 

13+7+3+2+1 

Rotor I 

10+4+4+3+2+2+1 

Rotor 1 

25+1 

Rotor II 

8+7+3+2+2+2+1+1 

Rotor 2 

17+7+2 

Rotor HI 

17+8+1 

Rotor 3 

19+6+1 

Rotor IV 

22+2+2 



Rotor V 

11+9+6 



Rotor VI 

14+8+4 



Rotor VH 

26 



Rotor VIII 

17+3+3+3 


Rotor I der Wehrmachts-ENIGMA ergibt die folgenden rotierten Alphabete 
(mit Ringstellung A für i = 0): 


Ringstellung 

i 

a 

b 

C 

d 

e 

f 

g 

h 

i 

j 

k 

1 

m n 

0 

P 

q 

r 

s 

t 

u 

V 

w 


z 

A 

0 

E 

KM 

F 

L 

G 

D 

Q 

V 

Z 

N 

T 

0 W 

Y 

H 

X 

U 

S 

P 

A 

I 

B 

RC 

J 

Z 

1 

K 

F 

L 

N 

G 

M 

H 

E 

RWA 

0 

U P 

X 

Z 

i 

Y 

V 

T 

Q 

B 

J 

CS 

D 

Y 

2 

E 

L 

G 

M 

0 

H 

N 

I 

F 

s 

X 

B 

P V 

Q 

Y 

A 

J 

z 

W 

u 

R 

C 

KD 

T 

X 

3 

U 

F 

M 

H 

N 

P 

I 

0 

J 

G 

T 

Y 

C Q 

w 

R 

Z 

B 

K 

A 

X 

V 

S 

DL 

E 

W 

4 

F 

V 

G 

N 

I 

0 

Q 

J 

P 

K 

H 

U 

Z D 

R 

X 

S 

A 

C 

L 

B 

Y 

WTE 

M 

V 

5 

N 

GW 

H 

0 

J 

P 

R 

K 

Q 

L 

I 

V A 

E 

S 

Y 

T 

B 

D 

M 

C 

Z 

XU 

F 

u 

6 

G 

0 

H 

X 

I 

P 

K 

Q 

S 

L 

RM 

J W 

B 

F 

T 

Z 

U 

C 

E 

N 

D 

AY 

V 

T 

7 

WH 

P 

I 

Y 

J 

Q 

L 

R 

T 

M 

S 

N K 

X 

C 

G 

U 

A 

V 

D 

F 

0 

EB 

z 

S 

8 

A 

X 

I 

Q 

J 

Z 

K 

RM 

S 

U 

N 

T 0 

L 

Y 

D 

H 

V 

B 

W 

E 

G 

PF 

c 

R 

9 

D 

B 

Y 

J 

R 

K 

A 

L 

S 

N 

T 

V 

0 U 

P 

M 

Z 

E 

I 

W 

C 

X 

F 

HQ 

G 

Q 

10 

H 

E 

C 

z 

K 

S 

L 

B 

M 

Z 

0 

u 

WP 

V 

Q 

N 

A 

F 

J 

X 

D 

Y 

G I 

R 

p 

11 

S 

I 

F 

D 

A 

L 

T 

M 

C 

N 

U 

p 

V X 

Q 

W 

R 

0 

B 

G 

K 

Y 

E 

ZH 

J 

0 

12 

K 

T 

J 

G 

E 

B 

M 

U 

N 

D 

0 

V 

QW 

Y 

R 

X 

S 

P 

C 

H 

L 

Z 

FA 

I 

N 

13 

J 

L 

U 

K 

H 

F 

C 

N 

V 

0 

E 

p 

WR 

X 

Z 

S 

Y 

T 

Q 

D 

I 

M 

AG 

B 

M 

14 

C 

K 

M 

V 

L 

I 

G 

D 

0 

W 

P 

F 

Q X 

s 

Y 

A 

T 

Z 

u 

R 

E 

J 

NB 

H 

L 

15 

I 

D 

L 

N 

WM 

J 

H 

E 

P 

X 

Q 

G R 

Y 

T 

Z 

B 

U 

A 

V 

S 

F 

KO 

C 

K 

16 

D 

J 

E 

M 

O 

X 

N 

K 

I 

F 

Q 

Y 

R H 

S 

Z 

U 

A 

C 

V 

B 

w 

T 

GL 

P 

J 

17 

Q 

E 

K 

F 

N 

P 

Y 

O 

L 

J 

G 

R 

Z S 

I 

T 

A 

V 

B 

D 

W 

c 

X 

UH 

M 

I 

18 

N 

R 

F 

L 

G 

O 

Q 

Z 

P 

M 

K 

H 

S A 

T 

J 

U 

B 

W 

C 

E 

X 

D 

YV 

I 

H 

19 

J 

O 

S 

G 

M 

H 

P 

R 

A 

Q 

N 

L 

I T 

B 

U 

K 

V 

C 

X 

D 

F 

Y 

EZ 

W 

G 

20 

X 

K 

P 

T 

H 

N 

I 

Q 

S 

B 

R 

O 

M J 

U 

c 

V 

L 

W 

D 

Y 

E 

G 

ZF 

A 

F 

21 

B 

Y 

L 

Q 

U 

I 

o 

J 

R 

T 

C 

S 

P N 

K 

V 

D 

WM 

X 

E 

Z 

F 

HA 

G 

E 

22 

H 

C 

Z 

M 

R 

V 

J 

P 

K 

S 

U 

D 

T Q 

0 

L 

W 

E 

X 

N 

Y 

F 

A 

G I 

B 

D 

23 

C 

I 

D 

A 

N 

s 

WK 

Q 

L 

T 

V 

E U 

R 

P 

M 

X 

F 

Y 

0 

Z 

G 

BH 

J 

C 

24 

K 

D 

J 

E 

B 

0 

T 

X 

L 

R 

M 

u 

WF 

V 

s 

Q 

N 

Y 

G 

Z 

P 

A 

HC 

I 

B 

25 

J 

L 

E 

K 

F 

c 

P 

u 

Y 

M 

S 

N 

V X 

G 

w 

T 

R 

0 

Z 

H 

A 

Q 

B I 

D 





Edward Hugh Hebern 


Arvid Gerhard Damm 


Arthur Scherbius 
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7.4 Verschobene Standardalphabete: 

Vigenere und Beaufort 

Wählt man in 7.2.1 a') P = p , so gelangt man zu { p l p : i e UN }, der Men¬ 
ge der horizontal verschobenen Standardalphabete, die aber, vgl. 7.2.1 a 7/ ), 
mit {pp 1 : z G IN }, der Menge der vertikal verschobenen und überdies mit 
{p l : zEflN } , der Menge der potenzierten Standardalphabete, übereinstimmt. 
Zur Mechanisierung dieses Falles, der von dem Benediktinerabt Johannes 
Heidenberg aus Trittenheim an der Mosel, genannt Trithemius (1462-1516), 
im 5. Buch seiner Polygraphiae nur in Form einer Tabelle (‘tabula recta\ 
Abb. 52) behandelt wurde, kann also eine Albertische Scheibe, die auch innen 
das Standardalphabet trägt, benutzt werden; aber auch, da es sich um eine 
reine Potenzierung handelt, eine Scheibe mit dem Zyklus p des Standard¬ 
alphabets und einem beweglichen Fenster. Die Literatur spricht in diesem 
speziellen Fall von VIGENERE-Chiffrierschritten. Eigentlich müßte dieser 
triviale Fall nach Trithemius benannt werden. 

Die Sekundärliteratur des 19. Jahrhunderts tat Vigenere insofern Unrecht, 
als sie nur die verschobenen Standardalphabete mit seinem Namen belegte. 
Vigenere schrieb in die Kopfzeile der tabula recta ein permutiertes Alpha¬ 
bet, was gleichwertig war mit Albertis Scheibe, s. 8.1. 

Die Menge { p 1 : i E IN } wird (Abb. 48) elektrisch durch einen Halbrotor 
wiedergegeben. 

7.4.1 Ein VIGENERE-Chiffrierschritt bewirkt offensichtlich eine einfache 
lineare Substitution: Der Zyklus p legt als zyklische lineare Ordnung von V n 
die Addition modulo N n fest (5. Kapitel); einem Chiffrierschritt p l : i E IN 
entspricht 6 die Addition Ai : i E Z Nn einer Verschiebungszahl i : 

Ai : Ai (x) os x Ti . 

Der Dechiffrierschritt Af 1 bedeutet eine Subtraktion der Verschiebungszahl: 
Aff 1 : A~ 1 (y) ¥ y - i . 

Als LARRABEE bezeichnete man im State Department und in der U.S. Army 
ein ab 1913 (unter Präsident Wilson ) eingeführtes Vigenere-Verfahren, bei 
dem 26 Karten, für jeden Schlüsselbuchstaben eine, jeweils das Klartext¬ 
alphabet und das zugehörige (verschobene) Geheimtextalphabet enthielten. 

7.4.2 Multiplikation mit einem regulären Faktor q ergibt auch eine Familie 
{ C q : q E Zjyn A ggt(q , N n ) = 1 } , die der EYRAUD-Chiffrierschritte: 

C q : C q (x) ~ q ■ X . 

Der Dechiffrierschritt ist 

C~ 1 :C~ 1 (x) os q f • x , wo q • q' os 1 (siehe Tab. 1). 

6 Solche ‘cryptographic equations’ hatte schon Babbage, ab etwa 1846, benutzt, aber nicht 
veröffentlicht. (British Museum, Add. Ms. 37205, Folio 59) 
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Rcch tranfpofinoms tabula. 


a 

b 

c 

d 

c 

f 

g 

b 

i 

k 

l 

m 

n 

0 

P 

q 

r 

s 

r 

u 

X 

Y 

; 

r 

b 

C 

d 

i 

f 

g 

6 

{ 

k 

I 

m 

n 

0 

p 

q 

r 

s 

t 

tt 

X 

y 

y 

yr 

a 

c 

a 

c 

f 

g 

B 

i 

k 

i 

m 

n 

o 

P 

q 

r 

fi 

c 

tt 

X 

y 

i 

yr 

a 

b 

a 

e 

f 

g 

b 

i 

k 

l 

m 

n 

0 

P 

q 

r 

s 

c 

tt 

X 

y 

j 

V 

a 

b 

c 

c 

f 

g 

b 

i 

k 

i 

m 

n 

0 

P 

q 

r 

s 

c 

ii 

X 

y 

i 

yr 

a 

b 

c 

d 

f 

g 
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Abb. 52. ‘tabula recta ’ des Trithemius. Aus der Polygraphiae (1508-1518), 5. Buch 
(Original in der Bayerischen Staatsbibliothek München 


Es handelt sich hier im nichttrivialen Falle \q \ ^ 1 um ein dezimiertes 
Standardalphabet (frz. alphabet chevauchant , Eyraud ), vgl. 5.6. 

Im Ring Z. Nn lautet die allgemeinste lineare Substitution 

Tq4 : T qÄ X ) ^ q-X + i J 

7 . 4.3 Der Fall, daß q fest und zwar gleich N n — 1 gewählt wird, ergibt die 
Familie { B{ : i G Z. Nn } mit 

N n 

Bi : Bi(x) ~ i — x . 


7 Eyraud gibt ein Verfahren an, das zu je einem klartextseitigen und geheimtextseitigen 
Standardalphabet nach zulässiger Wahl von q und q' eine Familie von Chiffrierschritten 
und Dechiffrierschritten gibt: Man schreibt das eine Alphabet in Zeilen zu q , das an¬ 
dere zu q' Elementen periodisch fortgesetzt, und liest sodann, von einer festzulegenden 
Anfangspaarung ausgehend, zeilenweise im Klar- und spaltenweise im Geheimtextblock, 
um den Chiffrierschritt zu erhalten — oder auch zeilenweise im Geheim- und spalten¬ 
weise im Klartextblock, um den Dechiffrierschritt zu erhalten. 

Beispiel: n = 1 , N n = 26 , q = 3 , q' = 9 ; Anfangspaarung: c - P . 

Klaralphabet evi t zlscourandbfgh j kmpqwxy 

Chiffrenalphabet SECURITYABDFGHJKLMNOPQVWXZ 
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Die Literatur spricht in diesem Fall von BEAUFORT-ChifFrierschritten . 8 
Der Dechiffrierschritt 

Bp: B~\y) ~ i - y 

fällt mit dem Chiffrierschritt zusammen, der BEAUFORT-Chiffrierschritt ist 
involutorisch, aber nicht echt involutorisch: 

N n 

x ist Fixpunkt von Bi genau dann wenn 2 • x ~ i . 

Im klassischen Fall (vgl. 5.5) ist natürlich n— 1. Übrigens hat erst de Viaxis, 
der ein mathematischer Kopf war 9 , 1888 die Deutung des VIGENERE-Chif- 
frierschritts als Addition modulo N publiziert, nachdem schon Kerckhoffs 
1883 (ohne von den Vorarbeiten von Babbage zu wissen) die mathematischen 
Beziehungen zwischen VIGENERE und BEAUFORT aufgezeigt hatte. Vor¬ 
her und teilweise noch nachher half man sich mit den Erklärungen dieser Pro¬ 
zesse durch die auch in der Praxis als Geräte dienenden Saint-Cyr-Schieber 
(cipher slide, reglette d chiffrer , 3.2.7). 

Mit fester Schiebereinstellung wird ein VIGENERE-Chiffrierschritt zu ei¬ 
nem CAESAR-Chiffrierschritt, ein BEAUFORT-Chiffrierschritt wird zu ei¬ 
nem CAESAR-Chiffrierschritt am revertierten Alphabet. 


ev i 

SECURITYA 

ev i 

SECU R I TYA 

t z 1 

BDFGH J KLM 

t z 1 

BDFGH J KLM 

SCO 

NOPQVWXZ S 

SCO 

NOPQ VWXZ S 

ur a 

ECURITYAB 

ur a 

ECURITYAB 

ndb 

DFGH J KLMN 

ndb 

DFGH J KLMN 

fgh 

OPQVWX Z S E 

fgh 

OPQVWX Z S E 

j km 

CUR I TYABD 

j km 

CUR I TYABD 

pqw 

FGH J K L MN 0 

pqw 

FGHJ K LMNO 

xye 

PQVWX Z S EC 

xye 

PQVWX Z S EC 

v i t 

URITYABDF 

v i t 

URITYABDF 

z 1 s 

GHJK LMNOP 

z 1 s 

GHJ KLMNOP 


Chiffrierschritt 

c ourandbf g hj kmpqwxyev i t z 1 s 
PUGQRHVIJWTKXYLZAMSBNEDOCF 

Dechiffrierschritt 

PQVWXZSECURITYABDFGHJKLMNO 
c rdgkqyi loabhmwetsunfjpxvz 

in Zyklenschreibweise 

(a r q z o u g w)(b e i)(c p l)(d v n h t)(f j k x m y s) . 

8 Schon von Giovanni Sestri 1710 betrachtet, von Admiral Sir Francis Beaufort (1774- 
1857, besser bekannt von den Windstärken her) 1857 wiederentdeckt. Für die in der 
englischen Literatur als ‘variant Beaufort’, in der französischen Literatur als ‘ Variante 
ä rallemande’ bezeichnete Variante, die 1858 unabhängig Lewis Carroll alias Charles 
Lutwidge Dodgson vorschlug, siehe 7.4.4. 

9 Marquis Gaetan Henri Leon de Viaris, 1847-1901, französischer Offizier. De Viaris 
erfand auch um 1885 eine der ersten druckenden Chiffriermaschinen — die allererste 
erfanden nach Kahn vermutlich vor 1874 Emile Vinay und Joseph Gaussin. 
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7.4.4 Eine triviale Variante der VIGENERE-Chiffrierung 

N n 

Ei : Ei(x) ~ — i + x 

wird in der Literatur als ,Rüekwärts c -VIGENERE (engl. ‘ Variant Beaufort\ 
frz. ‘Variante ä l’allemande’) bezeichnet. 

Die ebenfalls schon von de Viaris diskutierte involutorische Variante der 
BEAUFORT-Chiffrierung 

N n 

Ei . Fi(x) — i x 

wurde 1972 von Oie Immanuel Franksen wieder ent deckt. 

Eine , Variante^ unter dem Stichwort GRONSFELD 10 laufend, ist gar keine 
— es ist VIGENERE, wobei nur zehn Alphabete gebraucht wurden und diese 
statt durch die ersten zehn Alphabetbuchstaben, durch die Ziffern 0 bis 9 
bezeichnet werden. Kryptologisch liegen darin nur Nachteile. 



Abb.53. Elf involutorische Alphabete für polyalphabetische Chiffrierung ( Porta 1563) 

7.4.5 Eine andere Familie von elf involutorischen Substitutionen benutzte 
schon 1563 Giovanni Battista Porta (Abb.53). Man spricht hier von ver¬ 
schobenen involutorischen Alphabeten, die homophonisch durch 22 
Schlüsselbuchstaben bezeichnet werden. Eine ähnliche Anordnung mit zehn 
Alphabeten ( V = Z 20 ) wurde 1589 auch von den beiden Argentis benutzt 
(Abb.69). Wir werden hier von PORTA-Chiffrierschritten sprechen. 

10 Von Caspar Schott in der Schola steganographia 1665 dem Grafen Gronsfeld zugeschrie¬ 
ben. Die GRONSFELD-Chiffrierung gebrauchte Jules Verne 1881 in der Erzählung The 
Giant Raft. 1892 wurde sie von französischen Anarchisten benutzt und von Bazeries 
gebrochen. 
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7.5 Unabhängige Alphabete 

Porta brachte sich selbst um den Ruhm, Erfinder einer allgemeinen poly¬ 
alphabetischen Substitution zu sein, die auf einer Anzahl 9 ( 9 < ( N n )\ ) 
von „gegenseitig unabhängigen“ permutierten Alphabeten beruht; das heißt 
von Alphabeten, die jedenfalls nicht durch so einfache Gesetzmäßigkeiten wie 
Verschiebung oder Rotation Zusammenhängen. Kahn charakterisiert dies so: 
“The Order of the letters in the tableau may be arranged arbitrarily, provided 
no letter is omitted ”. 

7.5.1 Obwohl Porta diesen Fall beschrieb, illustrierte er ihn nur mit verscho¬ 
benen involutorischen Alphabeten wie in Abb. 53. 11 Es ist auch heute noch 
schwierig, in der Literatur Beispiele für den allgemeinen Fall nichtzyklischer 
Alphabete zu finden; Smith , Gaines behandeln ihn gar nicht, Eyraud disku¬ 
tiert ihn wenigstens (‘alphabets independants’, speziell ‘alphabets reellement 
non-paralleles\ siehe 7.5.4). Wir werden in diesem ganz allgemeinen Fall von 
Permutationen kurz von PERMUTE-Chiffrierschritten sprechen. 

Eine Tafel für allgemeine polyalphabetische Substitution könnte etwa lauten 
(man beachte den zu ihrer Konstruktion benutzten Kennsatz) 

ad f gjkmpqstuvwxyzheinrcbo 1 

A ESWARBCDFGH I J KLMNOPQTUVXY Z 

N VWXYZSCHONABDEFG I JKLMPQRT U 

S PQ R STVWXYZDUNKEABCFGH I JLMO 

I J KMNOPQRTUVWXYZLASICBDEFG H 

C CD E FGJKLMPQR S TUVWXYZH I NBOA 

H AKM I BCDEFGH J LOPQRSTUVWXYZN 


7.5.2 Allgemeine polyalphabetische Substitution liegt vor im wenig bekann¬ 
ten Chiffriergerät von 1786 des schwedischen Freiherrn Fredrik Gripenstierna 
(1728-1804), für König Gustav III. von Schweden gebaut (Abb. 54). Das 
praktische Gerät besaß 57 Scheiben, jede für eine andere (feste) Substitution 
Z 2 6 —► Ziq , vgl. 3.3.1. Durch Permutation der Scheiben konnte der Schlüssel 
verändert werden im Prinzip gab es immerhin 57! « 4.05T0 76 Alphabete. 
Selbst wenn man das Alphabet nur nach, sagen wir, einigen hundert Zeichen 
wechselte, war diese Chiffrierung besser als alles zu dieser Zeit. 

Gleichermaßen beschrieb in seiner ,Geheimschreibkunst ‘ von 1799 der Je¬ 
suitenpriester Johann Baptist Andres den Gebrauch einer Tafel mit 26 un¬ 
abhängigen permutierten Alphabeten, die periodisch nach Maßgabe eines 
Schlüssels ausgewählt werden sollten. 


11 Eyraud, ehemals im kryptographischen Büro der Vichy-Regierung arbeitend, will diesen 
Ruhm, etwas chauvinistisch, allein dem Franzosen Vigenere zubilligen. Ähnlich versucht 
Luigi Sacco, Autor des vorzüglichen Manuale di crittograßa (3. Aufl. Rom 1947), Italien 
zu begünstigen (Kahn: trying to prove that everything was an Italian first). Charles 
J. Mendelsohn, der über solcherlei Verdacht erhaben ist, preist Porta jedenfalls als u the 
outstanding cryptographer of the Renaissance ”. 
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Abb. 54. Chiffriergerät des Freiherrn Fredrik Gripenstierna. 

Rekonstruktion durch Crypto AG, Zug. Unterlagen entdeckt 
durch Sven WässtrÖm im Staatsarchiv Stockholm 


1915 baute der Schwede Arvid Damm eine Maschine, genannt A-21, bei der 
eine Anzahl austauschbarer Lineale mit unabhängigen permutierten Alpha¬ 
beten auf einer Trommel parallel zur Achse angeordnet war (Abb. 55). Die 
Lineale befanden sich neben einem Lineal für das Klaralphabet, nach jeder 
Ablesung wurden sie um einen Schritt weitergeschoben. Das Lineal für das 
Klaralphabet konnte zwei Lagen einnehmen, diese wechselten mit einer relativ 
kurzen Periode. Diese Maschine war der von Gripenstierna weit unterlegen. 

Polyalphabetische Chiffrierung mit unabhängigen permutierten Alphabeten 
wurde im 1. Weltkrieg von einer deutschen Funkstelle für Nachrichten an 
eine Sabotagegruppe in Nordafrika benutzt (,Für GOD‘-System) und von der 
U.S. Air Force im 2. Weltkrieg für Boden-Luft-Verkehr (SYKO) verwendet 
und jeweils von der gegnerischen Seite gebrochen. SYKO bestand aus dreißig 
involutorischen permutierten Alphabeten, die auf Karten gedruckt waren, die 
alte LARRABEE-Idee (7.4.1). Die Alphabete wurden zyklisch wiederholt be¬ 
nutzt, der Chiffrierer benutzte einen Indikator, um dem Dechiffrierer für einen 
vollen Tag den Beginn anzuzeigen. Dies war viel zu lang; die Schlüsselverein¬ 
barung erlaubte den Einbruch in das andernfalls recht sichere System. 
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12 7 



Abb. 55. A-21 von Arvid Damm 

7.5.3 Unter Beschränkung auf voll zyklische Permutationen ( c multiplex 
Systems ’) hat polyalphabetische Chiffrierung mit „unabhängigen“ permutier¬ 
ten Alphabeten klassische Verwendung gefunden in Form spezieller Geräte, 
der Zylinder von Jefferson und Bazeries. Dabei werden die einzelnen voll 
zyklischen Substitutionen als Zyklen auf dem Rand einer Scheibe dargestellt. 
Jefferson ordnete (um 1795) 36 solcher dünner Scheiben (jede mit einem per¬ 
mutierten Z 26 ) zu einem langen Zylinder an; Bazeries (1891) verwendete 20 
Scheiben (jede mit einem permutierten Z 2 5 ), wie in Abb. 19 gezeigt. 



Thomas Jefferson Parker Hitt Joseph O. Mauborgne 

Vierzehn von Bazeries ’ Zyklen, die in Abb. 56 wiedergegeben sind, entspran¬ 
gen launigen Einfällen, Merkversen wie 
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Allons enfants de la patrie, le jour de gloire est arrive 

Bienheureux les pauvres d’esprit, le royaume des Cieux 

Charybde et Scilla 

Dieu protege la France 

Evitez les courants Fair 

Formez les faisceaux 

Gloire immortelle de nos aieux 

Honneur et Patrie 

Instruisez la jeunesse 

J’aime Voignon frit ä Vhuile 

Kyrie eleison 

L’homme propose et Dieu dispose 
Montez ä cheval 
Nous tenons la clef 
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Abb. 56. Die 20 Zyklen von Bazeries 


Bazeries konnte den französischen Generalstab nicht dazu bewegen, seine Er¬ 
findung zu übernehmen — es gelang de Viaris (s. 14.3) zu zeigen, wie man 
mit dem Zylinder chiffrierte Nachrichten brechen kann, wenn man die Al¬ 
phabete kennt, im militärischen Einsatz ein durchaus realistischer Fall (vgl. 
2.1.2). Offenbar wußte Bazeries nicht, daß Jefferson lange vor ihm den selben 
Gedanken gehabt hatte, und wahrscheinlich erfuhr er auch nicht mehr — er 
starb 1931, 85 Jahre alt — daß 1922 die U.S. Army ihm, wie man sehen wird, 
eine späte Rechtfertigung gab. Auf den Zylindern von Jefferson und Bazeries 
brauchte man übrigens den chiffrierten Text nicht in der Zeile unterhalb des 
eingestellten Klartextes abzulesen — man konnte eine willkürlich gewählte 
i-te Zeile (die ,z-te Generatrix‘) herausgreifen. Die Chiffrierung war demnach 
polyphon. Der Dechiffrierer suchte einfach, nachdem er den Geheimtext ein¬ 
gestellt hatte, nach einer Zeile, in der der Klartext „in die Augen sprang“. Für 
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die unbefugte Entzifferung birgt diese Komplikation weniger Schwierigkeiten 
als man naiverweise erwarten möchte (s. 14.3.1). 

Normalerweise blieb die Reihenfolge der Scheiben unverändert für eine ganze 
Nachricht, oder für eine vordefinierte Zeitspanne, etwa einen Tag. 

Eine Ähnlichkeit mit dem Zylinder von Bazeries zeigt ein von dem italieni¬ 
schen Oberst O. Ducros 1901 vorgeschlagenes Gerät mit 13 Scheiben. 

Anstatt mit Scheiben kann man mit Linealen (auf denen die Alphabete du¬ 
pliziert sind) ebensogut arbeiten. Ein solches Gerät wurde schon 1893 von 
dem Franzosen Arthur J. Hermann vorgeschlagen. Eine Ausführung mit 25 
Linealen (‘strips ’) propagierte der damalige Hauptmann der U.S. Army, der 
spätere Oberst Parker Hitt 1914, auf Bazeries aufbauend. Er hatte zunächst 
keinen Erfolg. In der Zwischenzeit, 1917, erfand ein Marineleutnant, Russell 
Willson , ebenfalls ein Schiebergerät, das als NCB (‘Navy Code Box 7 ) minde¬ 
stens bis 1935 in Gebrauch war. Die U.S. Army aber wandte sich 1922 nach 
Verbesserungen von Mauborgne doch dem Zylinder zu. Das Gerät M-94 hatte 
25 Aluminiumscheiben von Dollargröße auf einer 11 cm langen Spindel (Farb¬ 
tafel D, Abb. 57); es wurde ab 1943 durch die dann verfügbare M-209 ersetzt. 



Abb. 57. Zusammenbau der M-94. 


1934 kam schließlich M-138-A, eine Schieberversion, in Gebrauch; von 100 
verfügbaren Linealen wurden jeweils 30 benützt. M-138-A (‘strip cipher ’) 
wurde im militärischen und im diplomatischen Dienst benutzt. Farbtafel E 
zeigt eine frühe Variante, M-138-T4. Man betrachtete das Schiebergerät als 
so sicher, daß man einen Funkspruch von Roosevelt an Churchill , unmittel¬ 
bar nach der Atlantik-Konferenz, damit zu verschlüsseln wagte — sehr zum 
Mißvergnügen des mißtrauischen, weil kryptographisch erfahrenen Roosevelt . 
Anscheinend gelang es den Japanern nicht, die M-138-A zu brechen, wohl 
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aber den Deutschen. 1944 erzielte Hans Rohrbach den Einbruch (s. 14.3.3), 
und zwar ohne im Besitz der Alphabete zu sein. Zu diesem Zeitpunkt wechsel¬ 
ten aber die U.S.A. u.a. zu den SIGTOT Vernam-Maschinen (s. 8.3.2). 

Das von Rohrbach gebrochene System 0-2 des U.S. State Department ver¬ 
wendete 30 von verfügbaren 50 Linealen, und zwar in zwei Gruppen von je 15 
Linealen. Jedenfalls sollte die Anzahl der verfügbaren Scheiben oder Lineale 
deutlich größer sein als die Periode, d.h. die Anzahl der verwendeten. 

Die U.S. Navy verwendete übrigens, als Nachfolger der Code Box , das Gerät 
CSP-642, ebenfalls mit 30 Linealen. Die Japaner erbeuteten einige dieser 
Schiebergeräte und mühten sich redlich damit ab — sie beachteten anschei¬ 
nend die Methoden von de Viaris und Friedman nicht. 

Für Zylinder- wie für Schiebergeräte bezeichnen wir, Friedman folgend, die 
einzelnen Chiffrierschritte als MULTIPLEX-Chiffrierschritte. Sie sind spe¬ 
zielle, nämlich voll zyklische PERMUTE-Chiffrierschritte. 
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Tabelle 2a. Die 20 permutierten Alphabete, die zu den Zyklen von Bazeries gehören. 


7.5.4 Im Spezialfall 0 < N kann man verlangen, daß N permutierten 
Alphabete von je N Zeichen, zeilenweise angeschrieben, die folgende Eigen¬ 
schaft haben: In keiner Spalte kommt ein Zeichen mehr als einmal vor ( Ey - 
raud: L alphabets reellement non-paralleles ’). Im Falle 6 — N bilden dann 
die permutierten Alphabete ein ,lateinisches Quadrat 4 , d.h. daß auch in jeder 
Spalte jedes Zeichen genau einmal vorkommt. Solches hatte schon Andres 12 


12 Andres begründete das allerdings noch damit, daß man die Tafel dann drehen konnte. 
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in seiner Geheimschreibekunst , 1799 vorgeschlagen. Die ‘tabula recta 7 erfüllt 
diese Vorschrift trivialerweise; sie trägt aber keine unabhängigen permutier¬ 
ten Alphabete. 

Gleiches kann man von den permutierten Alphabeten fordern, die zu Zyk¬ 
len (7.5.3) gehören; die Vorschrift verhindert dann den Angriff von de Via- 
ris (s. 14.3.1). Die aus Merksätzen entstandenen Zyklen von Bazeries sind 
jedoch wenig geeignet; tatsächlich zeigen die zugehörigen permutierten Al¬ 
phabete (Tabelle 2a) eigenartige Effekte: in den meisten Spalten treten ein 
oder zwei Buchstaben gehäuft auf. Es ist klar, daß das Fehlen vieler anderer 
Buchstaben eine Hilfe für eine unbefugte Entzifferung ist. Die zu den Zyk¬ 
len von Bazeries gehörigen permutierten Alphabete können — ganz gleich 
wie man sie durch weitere fünf Zyklen ergänzt — kein lateinisches Quadrat 
ergeben. 

Als Normalform für ein lateinisches Quadrat wählt man üblicherweise für die 
erste Zeile und für die erste Spalte, wie bei der ‘tabula recta\ ein Standard¬ 
alphabet von N Zeichen. Dann gibt es für N = 2 und N = 3 nur die trivialen 
Lösungen einer tabula recta 

ab a b c 

b a b c a 

c a b 


Für N = 4 gibt es neben der tabula recta weitere drei solcher Reduzierten 6 la¬ 
teinischen Quadrate: 


a b c d 
b c d a 
c d a b 
d a b c 


a b c d 
b d a c 
c a d b 
d c b a 


a b c d 
bade 
c d a b 
d c b a 


a b c d 
bade 
c d b a 
de ab 


Die Anzahlen wachsen rasch, für N= 5 sind es 56, für N= 6 sind es 9408, für 
N—7 bereits 16 942 080, für N=S schon 535 281401856. Für N—9 hat man 
bereits ^3.78 • 10 17 ( Bammel, Rothstein 1975), während die Gesamtanzahl 
aller reduzierten Sätze von 9 Alphabeten mit 9 Zeichen (8!) 8 « 6.98 • 10 36 
beträgt. 
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Tabelle 2b zeigt das Standardalphabet und die Alphabete, die zu den 25 
Zyklen der M-94 gehören; sie bilden mit drei Ausnahmen ein lateinisches 
Quadrat. Warum Mauborgne diese Ausnahmen vorsah, ist nicht bekannt. 
Beachte auch, daß die rotierten Alphabete (7.2.2) — anders als die verscho¬ 
benen Alphabete (7.2.1) — gewöhnlich kein lateinisches Quadrat bilden. 
Einfache Formeln für die Anzahl l(N) reduzierter lateinischer Quadrate von 
N Zeilen und N Spalten wurden bisher nicht angegeben. Erdös (1913-1996) 
und Kaplanski vermuteten 1946, daß asymptotisch gilt 

l(N) x N -(N\) N - 2 /e N < N - i y 2 (1(9) < 1.73-IO 24 ). 

Für N < 9 ist eine bessere obere Schranke 

l(N) < y/((N — l)!)^ -1 (1(9) < 2.64 • 10 18 ). 

Eine sehr grobe untere Schranke ist ( Werner Heise) 

l(N) > 2! - 3! • 4! •- (iV — 2)! (1(9) > 1.25-IO 11 ). 

Beachte, daß 1(9) = 3.78TO 17 . Für /(26) geben die angegebenen Schranken 
10 243 < /(26) < 10 498 . Man darf etwas wie Z(26)«IO 320 erwarten. 
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Tabelle 2b. ,Fast £ lateinisches Quadrat, das zu Mauborgnes Alphabeten der M-94 gehört. 

Eine zyklische Permutation der drei fettgedruckten Buchstaben in der Zeile 16 
ergibt ein korrektes lateinisches Quadrat. 



8 Polyalphabetische Chiffrierung: 
Schlüssel 


cc No inessage is safe in cipher unless 
the key phrase is comparable in length 
with the message itself.” 

Parker Hitt, 1914 


8.1 Frühe Verfahren mit periodischen Schlüsseln 


8 . 1.1 Die frühesten Ansätze zu einer polyalphabetischen Chiffrierung finden 
sich bei Leon Battista Alberti (1404-1472) in einem Werk von 1466, einem 
Essay von 25 Seiten, das er für Dato, den Päpstlichen Sekretär, schrieb. 1 
Aufbauend auf seinen Überlegungen zur Kryptanalyse erkannte Alberti , daß 
es beim Gebrauch einer einfachen Substitution nicht ausreichte, sie von Zeit 
zu Zeit zu wechseln. So schlug er vor, nach jeweils drei oder vier Wörtern 
zu einem anderen Alphabet überzugehen, und erfand die drehbare Scheibe 
(Abb. 26), um mehrere begleitende Alphabete verfügbar zu haben. Drei oder 
vier Wörter — das sind durchschnittlich 18 Buchstaben: damit blieb Alberti 
unbewußt unter der Shannonschen Unizitätslänge für die einfache Substitu¬ 
tion. Gegenüber der damals schon geläufigen Verwendung von Homophonen 
war ein großer Fortschritt erzielt: Bedeutete bei einer einfachen Substitution 

Z 25 -^ ^i 2 0 vielleicht 89,43 , 57 und 64 den Buchstaben /a/, so konnte 

jetzt jedes Bigramm /a/ bedeuten. 

Die Ziffern in Alberti s Scheibe dienten übrigens (auch) der polyalphabeti¬ 
schen Chiffrierung von Codes, und zwar eines Codes von 336 Zweier-, Dreier- 
und Vierergruppen, gebildet aus den Ziffern /1/, /2/, /3/, /4/; die Code¬ 
gruppen waren in den Text einzustreuen. 2 


1 Das lateinische Original “De cifris” ist abgedruckt in Aloys Meister , ,Die Geheimschrift 
im Dienste der Päpstlichen Kurie‘, Paderborn, Schöningh, 1906, S. 125-141. Italienische 
Übersetzung “Trattati in cifra”, Rom um 1470. 

2 Über die Art und Weise, wie mit Alberti s Scheibe der Wechsel des Alphabets bestimmt 
werden sollte, ist sich die Sekundärliteratur nicht ganz klar. Sacco (* 1884), ein italieni¬ 
scher, und Eyraud (f 1963), ein französischer Kryptologe, deuten es so: Der Chiffrierer 
setzt vor jedes Teilstück, das mit einer neuen Stellung der Scheibe chiffriert werden 
soll, eine der Ziffern /l/ bis /4/. Die jeweilige Anfangsstellung der (bei Chiffrie¬ 
rer und Dechiffrierer identischen) Scheibe ist dadurch fixiert, daß der Indikator (frz. 
index ), ein vereinbartes Klartextzeichen — sagen wir /b/ — mit dem wählbaren er¬ 
sten Geheimtextzeichen zur Deckung gebracht wird. Jedes neue Teilstück wird durch 
Übertragung der chiffrierten Ziffer an gekündigt, anschließend stellt auch der Dechif¬ 
frierer das nächste übertragene Geheimtextzeichen dem Index gegenüber. Um dieses 
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Alberti sprach auch schon davon, den Code für das Chiffrieren nach Wörtern 
und für das Dechiffrieren nach Gruppen zu ordnen. Ob dieser frühe zwei¬ 
teilige Code den Zweck erhöhter Sicherheit hatte, kann nicht eindeutig fest¬ 
gestellt werden. 

Alberti jedenfalls darf mit diesen Leistungen als „Vater der modernen Kryp¬ 
tologie“ bezeichnet werden, obschon die Leistungen des Renaissancearchitek¬ 
ten — der Palazzo Pitti, Sant’ Andrea in Mantua, Santa Maria Novella in 
Florenz, der Tempio Malatestiana zu Rimini — nicht zurückstehen müssen. 

8.1.2 War Alberti nach jeweils „drei oder vier“ Wörtern zu einem anderen 
Alphabet übergegangen, so schlug Trithemius 1518 bereits vor, nach jedem 
Buchstaben zum nächsten Alphabet überzugehen, und so nach einer festen 
Progressionsvorschrift, nämlich Zeile für Zeile, alle verfügbaren Alphabete zu 
benützen, bevor ein Alphabet zum zweiten Male benutzt wird. 3 Aber das 
ist ein festes Verfahren mit einer Periode 24, das Alberti weit unterlegen 
war. Man sollte meinen, daß dies im 20. Jahrhundert nur noch historisch 
interessant gewesen wäre, aber tatsächlich wurde ein solches Verfahren mit 
einer Periode 3, gefolgt von Spaltentransposition, von den Franzosen ABC 
genannt, 1914 an der Westfront eingesetzt (vgl. 2.1.1). 

Trithemius gab auch die erste Chiffriertafel (‘ tabula rectal) an (Abb. 52). 
Porta zeigte dann 1602, wie man eine der Vorschrift von Trithemius folgende 
Chiffrierung — in heutiger Redeweise ein VIGENERE mit dem speziellen 
Schlüssel A B C ... Y Z — angreifen kann: Wenn im Klartext drei konse¬ 
kutive Buchstaben sind, wie pon in pondus , ergibt sich im Geheimtext ein 
Buchstabentripel. 

Das Verdienst, die Chiffrierung durch Angabe eines Schlüsselworts zur Be¬ 
stimmung der sukzessiven Verdrehung der Scheibe oder zur Auswahl der Zeile 
der Tafel erweitert zu haben, kommt Giovanni Battista Belaso (1553) zu. 
Er benutzte auch bereits ziemlich lange Schlüsselworte, (die notfalls peri¬ 
odisch wiederholt wurden) wie OPTARE MELIORA und VIRTUTI OMNIA 
PARENT. Es handelt sich hier um einen periodischen, d.h. endlichen, pe¬ 
riodisch wiederholten Schlüssel, der eine periodische polyalphabetische Chif¬ 
frierung (2.3.3) ergibt. Aber Trithemius wie auch Belaso verwendeten nur das 
Standardalphabet — im Gegensatz zu Alberti , der ein beliebiges gemischtes 
Alphabet P zuließ, um daraus durch Verschiebung andere herzuleiten. 

Die kombinatorische Komplexität Z des Verfahrens mit einem Standard¬ 
alphabet von N Zeichen und einer Chiffrierbreite n ist, wenn das Schlüssel¬ 
wort d Buchstaben hat, lediglich ( N n ) d , also hat man Z = N n ‘ d . 


Verfahren durchführen zu können, brauchte man nicht unbedingt vier Ziffern /1/ bis 
/4/ . Übrigens wäre dies das erste Vorkommen einer Schlüsselvereinbarung durch einen 
gedeckten Indikator, wie sie für moderne Schlüsselmaschinen geläufig ist. 

3 Kahn nennt das ‘progressive key’, s. 8.4.2 — nicht mit dem von Friedman benutzten 
Ausdruck ‘running key’ (fortlaufende Chiffrierung 4 , 2.3.6) zu verwechseln. Moderne 
Chiffriermaschinen, die mit Vorliebe mit progressiver Chiffrierung arbeiten, verwenden 
allerdings weit mehr als zwei Dutzend Alphabete. 
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8.2 „Doppelter Schlüssel“ 

8 .2.1 Porta (1535-1615) verband nun 1563 Alberti s Gebrauch eines permu- 
tierten Alphabets P mit Belasos Gebrauch eines Schlüssels zur Bestimmung 
der Verdrehungen der Scheibe. Da auch ein Kennwort zur Festlegung des per¬ 
mutierten Alphabets als (wechselnder) Schlüssel dienen kann, sprach man von 
,doppelter Chiffrierung* (engl, double cipher ), in der französischen Termino¬ 
logie hat sich dies bis heute unter der Benennung Substitution ä double clef 
erhalten. 4 Das Kennwort wird manchmal auch ,zweiter Schlüssel* genannt. 

Die kombinatorische Komplexität Z des Verfahrens erhöht sich nun auf 
(. N n ) \-(N n ) d ~ 1 , wenn ein beliebiges permutiertes Alphabet erlaubt wird und 
das Schlüsselwort d Buchstaben hat, also hat man Z = ( N n — 1)! • N n ' d . 

Statt der Scheibe Alberti s kann natürlich auch eine Tafel benutzt werden. 
Diese würde für den Fall von Abb. 26 lauten (mit { p~ l P : i G IN } ) 

abcdefgi lmnopqrstvxzl23 4 
0 DLGAZENBOSFCHTYQIXKVP&MR 

1 RDLGAZENBOSFCHTYQIXKVPfeM 

2 MRDLGAZENBOSFCHTYQIXKVP& 

3 &MRDLGAZENBOS FCHTYQ I XKV P 


Man erhält übrigens den Dechiffrierschritt, wenn man über eine tabula recta 
der Klartextzeichen das Geheimtextzeichenalphabet setzt, in unserem Bei¬ 
spiel (mit { P~ l p l : i G IN } ) 

DLGAZENBOSFCHTYQIXKVP&MR 
0 abcdefgi lmnopqrstvxzl2 34 

1 bcdefgi lmnopqrstvxzl234a 

2 cdefgi lmnopqrstvxzl234ab 

3 defgilmnopqrstvxz!234abc 


8.2.2 Diese Verbindung der tabula recta mit einer beliebigen Substitution 
(vgl. 7.4.1) schlug 1585 Vigenere vor. Er erkannte auch, daß es wichtig war, 
möglichst lange Schlüsselwörter zu wählen, um die unbefugte Entzifferung zu 
erschweren. 

Blaise de Vigenere wurde am 5. April 1523 in Saint-Pourgain geboren, “half- 
way between Paris and Marseilles”, schreibt in amerikanischer Großzügigkeit 
Kahn. Er studierte, und ging bei verschiedenen Herren in diplomatischen 
Dienst. Er las Trithemius , Belaso , Cardano und Porta und bekam Zugang 
zu Alberti s Manuskript. 1570 gab er seine Beschäftigungen auf und verlegte 
sich, 47 Jahre alt, ganz aufs Schreiben, schrieb bis zu seinem Tod 1596 über 


4 Kahn schreibt “Givierge was even then [1920] calling polyalphabetic Systems by the 
almost obfuscatory ‘double Substitution’ which teils absolutely nothing at all about the 
System.” Givierge sprach von clef principale für den eigentlichen Schlüssel. 
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alles Mögliche, auch einen Traicte des Cometes. Sein Traicte des Chiffres ent¬ 
stand 1585, “despite the distraction of a year-old baby daughter” (so schreibt 
Kahn ) — Vigenere hatte 1570 die wesentlich jüngere Marie Vare geheiratet. 
Das Buch von über 600 Seiten enthielt vieles außer Kryptographie — japani¬ 
sche Ideogramme, Alchemie, Magie, Kabbala, Goldmaeherrezepte, aber auch 
eine zuverlässige, genaue Wiedergabe des Standes der Kryptologie zu sei¬ 
ner Zeit. Bei der Diskussion polyalphabetischer Chiffrierung verwandte er 
wie Alberti und Trithemius durch Verschiebung eines Alphabets auseinander 
hervorgehende Alphabete, bezeichnete die Zeilen aber durch Schlüsselbuch¬ 
staben — wie schon Belaso und Porta , die allerdings involutorische Alpha¬ 
bete benutzt hatten. 

8.2.3 Eine ,dreifache Chiffrierung 6 (‘treble key\‘triple clef ’) bekommt man, 
wenn man zwei Substitutionen Pi, P 2 vorgibt und den Fall b) in 7.1.1 be¬ 
nützt, also die Menge von Alphabeten { P\p l P 2 : i £ IN } ; siehe auch 19.5.3 . 
Vigenere gelangte zu diesem Fall, als er die VIGENERE-Chiffrierschritte mit 
einem permutierten Alphabet von Schlüsselbuchstaben bezeichnete. 


8.3 Vernam-Chiffrierung 


Moderne Nachrichtenverbindungen arbeiten in einem binären Alphabet 
Z 2 =Z 2 . Will man die Zeichen des internationalen Fernschreibalphabets 
CCIT 2 chiffrieren, so kann man dies als eine polygraphische binäre Chiffrie¬ 
rung mit N = 2 und n = 5 auffassen. Für die Chiffrierung von Bytes, 
d.h. 8-Bit-Zeichen, die in heutigen Rechnern häufig als grundlegende Ein¬ 
heit dienen, handelt es sich um den Fall N = 2 und n = 8 der binären 
Oktogramme, für Blöcke von 8 Bytes um N = 2 und n = 64 . 

Beschränkt man sich auf VIGENERE-Chiffrierschritte, so gibt es deren 32 
für Z 2 bzw. 256 für Z 2 , ihre Durchführung als Addition mod. 32 bzw. 
256 erfordert einen zyklischen Addierer mit 5 Bit bzw. 8 Bit Breite. Eine 
geeignete binäre Schaltung (mit n — 5) zeigt Abb. 58. Größere Mikropro¬ 
zessoren erlauben heute sogar Verarbeitungsbreiten von 64 Bit und können 
damit Byte-Oktogramme direkt chiffrieren. 


Abb. 58 

Aus Halbaddierern HA 
aufgebautes 5-stelliges 
Additionsschaltnetz 


b b b 


b 


b 



& 
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8.3.1 Andererseits kann auch bitweise ein VIGENERE-Schritt vorgenommen 
werden. Dieser Extremfall der bitweisen Binär Chiffrierung wird sich spä¬ 
ter als besonders wichtig erweisen. Ist eine Chiffrierung Z 2 —^Z 2 definal, 
so ist sie eine Permutation der beiden Elemente O und L , es gibt nur 


die Identität 



O 

L 


und die Spiegelung 



L 

O 


als Chiffrierschritte (VERNAM-Chiffrierschritte). Die Chiffrierung ist not¬ 
wendigerweise involutorisch, aber nicht echt involutorisch. Es ist | M | = 2 , 
der kleinste Wert, der eine polyalphabetische Chiffrierung erlaubt. Als 
Schlüssel dient eine endliche (0,L)-Folge, die periodisch wiederholt wird, 
oder eine unendliche (0,L)-Folge. 

In Z 2 kann die Identität O durch ffO, die Addition von O, und die 
Spiegelung L durch TL, die Addition von L, bewerkstelligt werden. Die 
Chiffrierung Z 2 —► Z 2 ist also eine lineare Transformation. Die Addition in 
Z 2 , die Addition modulo 2, oft mit ® bezeichnet, fällt mit der Booleschen 
Operation (Bisubtraktion, auch Antivalenz oder exklusives Oder (engl. 
exclusive-Or, non-carry binary addition ) genannt, zusammen. Ihr Ergebnis 
fällt gerade am Summen-Ausgang eines Halbaddierers an. 

8.3.2 Eine maschinelle Realisierung dieser beiden Schritte liegt nahe. Diese 
Idee hatte 1917 (also vor Lester S.Hill) ein junger Angestellter von AT&T 
in New York, Gilbert S. Vernam (1890-1960). 

Vernam baute für einen Fernschreiber einen binären VIGENERE-Chiffrier- 
zusatz. Der Schlüssel war auf Lochstreifen gestanzt und konnte zu einer ziem¬ 
lich langen Schleife geklebt werden. Durch doppelte Chiffrierung mit Schlei¬ 
fen von 999 und 1000 Zeichen erzielte Vernams Mitarbeiter LymanF. More- 
house einen Schlüssel, der 999000 Zeichen lang und, wichtiger, ,sinnlos 4 war. 

Gilbert S. Vernam reichte am 13. Sept. 1918 darauf ein US Patent ein und 
erhielt es 1919 unter der Nummer 1,310,719. Im kommerziellen Verkehr 
wurde es allerdings kein Erfolg, Codes waren beliebter. Die Idee wurde aber 
anderswo in der Fernschreibtechnik aufgegriffen, insbesondere im Siemens 
Doppel-Abtaster mit „Mischer“ und in der SIGTOT-Maschine der U.S. Army. 

8.3.3 Geht man von einem VIGENERE-Chiffrierschritt in Z 2 n , bewirkt 
durch Addition von (a\ cts ... a n ) im Dualsystem, polyalphabetisch zu 
n VERNAM-Chiffrierschritten, also VIGENERE-Chiffrierschritten in Z 2 
mit der Addition von a± , von (i 2 , ... , von a n über, so entfällt ge¬ 
rade die Übertragseinrichtung des binären Additionsschaltnetzes. Entspre¬ 
chendes gilt für VIGENERE-Schritte in Z 1Qn , die durch Addition modulo 
10 n der Zahlen {0, 1, 2, ... 10 n — 1} auf einer n-stelligen mechanischen 
Tischrechenmaschine bewerkstelligt werden können. Geht man polyalpha¬ 
betisch zu n VIGENERE-Schritten in Z 10 über, so braucht man (vgl. 5.7) 
die Übertragseinrichtung nicht; eine solcherart verstümmelte Tischrechenma¬ 
schine erlaubt polyalphabetische Chiffrierung über ihre ganze Arbeitsbreite. 
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8.4 Quasi-nichtperiodische Schlüssel 

8.4.1 Periodische polyalphabetische Chiffrierung hatte es trotz der Sicher¬ 
heit, die sie bei sorgfältigem Gebrauch bot, schwer, sich gegen die Nomen¬ 
klatoren durchzusetzen. Diese Chiffrierung wurde zunächst meist nur in Aus¬ 
nahmefällen eingesetzt: In der Päpstlichen Kurie 1590, wo sie durch Chorrin , 
einen Entzifferer von Henri IV. gebrochen wurde; von den Aufständischen 
der Fronde 1654 im Briefwechsel zwischen dem Kardinal de Retz und dem 
Prinzen Conde , dem späteren Louis II. von Bourbon, gebrochen durch Guy 
Joly , der das Schlüsselwort erriet. So wendete auch Marie Antoinette sie (vgl. 
2.1.1) in ihrem amourösen Schriftwechsel 1791 an. Ihr Geliebter seit 1783, der 
schwedische Graf Axel Fersen , erstellte eine Porta-ähnliche Anordnung mit 
23 unabhängigen involutorischen Alphabeten (Abb. 59). Axel Fersen war 
vorsichtig, er benutzte keine naheliegenden Kennworte, sondern Wörter wie 
DEPUIS , VOTRE . Daß die Flucht Ludwig XVI. und Maries an der Brücke 
von Varenne entdeckt wurde, war nicht Schuld der Kryptographie: Keine 
ihrer beider Botschaften war entziffert worden. 

A (ab) (cd) (ef) (gh) (ik) (lm) (no) (pq) (rs) (tu) (xy) (z&) 

B (bk) (du) (ei) (fl) (gn) (ho) (my) (ps) (qx) (rt) (ac) (&z) 

C (lr) (ad) (bg) (cz) (s&) (ek) (fm) (th) (ix) (np) (oq) (uy) 


Abb. 59. Marie Antoinette’s polyalphabetische Chiffrierung. 

Polyalphabetische Substitution hatte, bevor man sie mechanisierte, immer 
den Ruf, mühsam und fehleranfällig zu sein. 1819 schreibt William Blair 
in einem Enzyklopädieartikel u polyalphabetic Substitution requires too much 
time and by the least mistake in writing is so confounded ...” . 

Letzteres findet sich auch in einem Brüsseler Werk des 17. Jahrhunderts, 
Traitte de hart de deschiffrer: “... takes too long to encipher them, dropping 
of a single ciphertext letter garbles the message from that point on ...” (Kahn). 
8.4.2 Polyalphabetische Substitution galt aber auch als unbrechbar. Matteo 
Argenti schrieb, sie „ist die edelste und größte in der Welt, die sicherste und 
getreueste, so daß es niemals einem Menschen gelingt, sie zu brechen“. 

Bis ins 19. Jahrhundert gelang ein echter Einbruch nur, wenn Standardal¬ 
phabete (oder revertierte Standardalphabete) mit Verschiebung verwendet, 
Wörter aus dem Klartext erraten und der (zu kurze) Schlüssel rekonstru¬ 
iert werden konnte, oder wenn gar, wie von Porta oder den Argentis , der 
Schlüssel erraten wurde. Mit der im 19. Jahrhundert aufkommenden syste¬ 
matischen Lösung der periodischen polyalphabetischen Chiffrierung ändert 
sich das. 

Will man diese Angriffsmöglichkeit ausschließen, so muß man, Parker Hitt 
folgend, zu einer Periodenlänge greifen, die deutlich größer ist als die gesamte 
Nachricht (,quasi-nichtperiodischer Schlüsse^), oder man muß zu fortlaufen¬ 
den Schlüsseln übergehen. 
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8.4.3 Wenn schon quasi-nichtperiodische Chiffrierung, dann sollten sicher¬ 
heitshalber weit mehr Alphabete verwendet werden als man üblicherweise 
Schlüsselbuchstaben hat. Diese sollten zudem unregelmäßig ausgewählt wer¬ 
den (Kahn: ‘irregulär sequence of alphabets’). Überdies hegt es bei so vielen 
Alphabeten nahe, progressive Chiffrierung im folgenden Sinne zu verwenden: 
Die progressive Chiffrierung ist eine polyalphabetische Chiffrierung, bei 
der kein Alphabet wieder benutzt wird, bevor jedes andere Alphabet be¬ 
nutzt wurde. Eine progressive Chiffrierung ist also periodisch mit einer Pe¬ 
riode gleich der Kardinalität 6 der Menge der Chiffrierschritte; eine quasi¬ 
nichtperiodische Chiffrierung entsteht, wenn die Nachricht kürzer ist als 9 . 
Progressive Chiffrierung hatte schon Trithemius mit seiner 6 tabula rectal vor¬ 
geschlagen (7.3.1, 8.1.2). Progressive Chiffrierung ist systembedingt bei den 
Zylinder- und Streifengeräten, bei denen jedes Alphabet nur in einer Ausfer¬ 
tigung verfügbar ist. Progressive Chiffrierung verwendete man auch gern in 
den mechanischen oder elektronischen Chiffriermaschinen der ersten Hälfte 
des 20. Jahrhunderts. 

8.4.4 Obwohl im Prinzip Rotoren viele Kontakte haben konnten (der Halb¬ 
rotor der japanischen angökikaitaipu A, Abb.66, hatte deren 60), schien 
es doch für ein Alphabet Zn natürlich zu sein, Rotoren mit genau N Kon¬ 
takten u versehen und damit genau 9 — N Alphabete zu haben. Um hohe 
Werte von 6 für eine progressive Chiffrierung zu erzielen, fanden Hebern 
und Scherbius unabhängig die Lösung, mehrere hintereinandergesetzte Ro¬ 
toren wie bei einem Zähler zu schalten (reguläre Rotor-Fortschaltung), 
ein elementares Beispiel einer progressiven Chiffrierung. Für vier Rotoren 
und 9 = 26 4 , wie in der ENIGMA, ist die Periode d gleich oder (bei ,fast 
progressiver Chiffrierung 6 ) nur wenig kleiner als 9 = 26 4 = 456 976. Das ist 
eine eindrucksvolle Anzahl, sie bedeutet, daß die Periode nicht ausgeschöpft 
werden muß für eine Nachricht von der Länge eines Romans. Für fünf Roto¬ 
ren und 9 = 26 5 beträgt die Periode knapp 12 Millionen, das ist mehr als 
die ganze Bibel Buchstaben hat. Andrerseits ist es wenig im Vergleich zu 
den Möglichkeiten heutiger Nachrichtensysteme: Bereits Systeme mit einer 
Bitrate von 2 MBit/sec übertragen 12 Millionen Buchstaben in 48 Sekunden. 

8.5 Maschinen mit eingebauten Schlüsselerzeugern 

Moderne Chiffriermaschinen mit einigem Komfort haben eine doppelte Funk¬ 
tion: Sie vollziehen nicht nur polyalphabetische Chiffrierschritte, sie erzeugen 
auch ihre eigene Schlüsselzeichenfolge für die Auswahl dieser Chiffrierschritte. 
Die Schlüsselerzeugung ist die crux der kompletten Mechanisierung. 

8.5.1 Bei Trithemius wurden die verschobenen (Standard-)Alphabete 
schlicht der Reihe nach verwendet. So geschah es noch im 6 Cryptograph' von 
Wheatstone , 1867 (Farbtafel C). Das lief auf den Gebrauch eines festen 
Schlüssels hinaus. Der Gebrauch von Schlüsseln durch Belaso (8.1.2) be¬ 
deutete bereits eine „Unregelmäßigkeit in der Auswahl der Alphabete“. 
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8.5.2 Schlüsselerzeuger, die so lange Perioden aufweisen, daß normalerweise 
für eine Nachricht die volle Periode bei weitem nicht ausgeschöpft wird, 
können durch die Wahl des Startpunktes in der Schlüsselzeichenfolge eine 
weitere, vom Chiffrierer herrührende „Unregelmäßigkeit“ einführen. 

Arthur Scherbius , einer der Erfinder des Rotorprinzips, beschrieb in seiner 
grundlegenden Patentanmeldung vom 23. Februar 1918, DRP 416 219) zu¬ 
nächst nur vage als eine Möglichkeit die regelmäßige Rotor-Fortschaltung „wie 
bei Zählwerken“ durch Mitnehmer, d.h. eine reguläre Rotor-Fortschaltung. 

Arvid Gerhard Damm , ein anderer Erfinder des Rotorprinzips, benutzt aber 
in seiner schwedischen Patentanmeldung vom 10. Oktober 1919 sogar einen 
Schlüsselerzeuger: vier ,Antriebsräder‘, um die vier Halbrotoren nach jedem 
Chiffrierschritt eine unregelmäßige Anzahl von Positionen fortzuschalten. 
Die Periode betrug 17 • 19 • 21 • 23, also mehr als 150000, somit etwa ein 

Drittel von 0 = 26 4 = 456 976. Das war nahezu progressive Chiffrierung. 

Scherbius nutzt dann in einer weiteren Anmeldung vom 26. September 1920 
(DRP 425147) für die später als ENIGMA bekanntgewordene Maschine eben¬ 
falls Antriebsräder mit ungleichmäßig verteilten Zähnen. Für die ENIGMA A 
von 1923 mit vier Rotoren war die unregelmäßige Rotorfortschaltung (pa¬ 
tentiert für Paul Bernstein , angemeldet 26. März 1924, DRP 429 122) durch 
Verwendung von gezähnten Antriebsrädern mit Lücken so geregelt: 
eines mit 5 Zähnen und 6 Lücken (11 Positionen), 
eines mit 9 Zähnen und 6 Lücken (15 Positionen), 
eines mit 11 Zähnen und 6 Lücken (17 Positionen), 
eines mit 11 Zähnen und 8 Lücken (19 Positionen). 

Es wurde so eine Periode von 11-15-17-19 , also mehr als 50 000, erzielt, 
also etwa ein Neuntel von 6 = 26 4 = 456 976 — immerhin auch noch fast eine 
progressive Chiffrierung. 

Unregelmäßige Fortschaltung mittels Antriebsräder mit einer wechselnden 
Anzahl von Zähnen und Lücken wurde auch in der Chiffriermaschine (Farb¬ 
tafel F) von Alexander vonKryha (Patentanmeldung vom 16. Januar 1925, 
DRP 434 642) benutzt; aber mit einer Periode von zwischen 260 und 520 war 
die Maschine kryptologisch sehr schwach. Der Mathematiker Georg Hamei 
pries in einem banalen Gutachten ihre Stärke. 

Boris Hagelin , der Damms Firma Aktiebolaget Cryptograph übernahm, er¬ 
setzte 1935 die Halbrotoren durch einen ,Stangenkorb 4 , engl, bar drum , lug 
cage, der BEAUFORT-Chiffrierschritte bewirkte. Er benutzte weiterhin un¬ 
regelmäßige Fortschaltung. In den Maschinen C-35/C-36 (Abb. 60a, Farbta¬ 
fel G) wurde die Zahl der Antriebsräder auf fünf erhöht, die Periode betrug 
17 * 19 * 21 * 23 * 25 = 3900225. In der auf Rat von Yves Gylden verbesserten 
Maschine C-38 wurden sechs Antriebsräder benützt, die Periode betrug nun 
17 • 19 • 21 • 23 • 25 • 26, also knapp über 100 Millionen (Farbtafel H). 5 Hagelin 


5 Für Details siehe Arto Salomaa , Public-Key Cryptography, Berlin 1990, p. 44 ff. 
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erhielt von Frankreich eine Bestellung von 5 000 Maschinen, die von Ericsson- 
Colombes in Lizenz hergestellt wurden. Im 2. Weltkrieg wurden dann in den 
U.S.A. in Lizenz von Smith & Corona 140000 Stück fabriziert, die bei der 
U.S.Army als M-209, bei der U.S.Navy als CSP 1500 geführt wurden (Farb¬ 
tafel H). Eine unsichere C-38m wurde bei der italienischen Kriegsmarine im 
Mittelmeer verwendet. Spätere Hagelin-Maschinen haben eine Periode von 
29 -31 -37-41 -43 -47 , d.h. über 2 Milliarden. BC543 (Abb. 60b) war eine elek¬ 
trisch angetriebene Variante (als C 41 in den letzten Kriegsjahren in Deutsch¬ 
land in den Wanderer-Werken nachgebaut). 



Abb. 60a. C-35 nach B. C. W. Hagelin (A.B. Cryptoteknik, Stockholm) 



Abb. 60b. BC 543 nach B. C. W. Hagelin (links) und 

deutscher Nachbau C41 der Wanderer-Werke (rechts) 


In den Nachkriegsjahren verbesserte Boris Hägelin seine Maschinen weiter. 
1952 kam die Hagelin-Crypto CX-52 auf den Markt, die mit sechs Schlüssel¬ 
rädern, ausgewählt aus zwölf, arbeitete (als H54 in Lizenz von Hell gebaut). 

8.5.3 Später, als Scherbius die Umkehrwalze eingeführt hatte und zu drei 
beweglichen Rotoren übergegangen war, gab er die besonderen Antriebs¬ 
räder wieder auf und ersetzte sie durch Stoßklinken und Nuten auf den 
Rotorkörpern. Der schrittweise angetriebene ,schnelle 6 Rotor Rn nahm bei 
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jeder vollen Umdrehung den ,mittleren‘ Rotor Rm um einen Schritt mit; die¬ 
ser wiederum bei jeder vollen Umdrehung den ,langsamen‘ Rotor Rg . Dieser 
zählwerksartige ,reguläre‘ Rotorantrieb war tatsächlich ein sehr regelmäßiger. 
(Die später eingeführten ,Griechenwalzen‘ wurden nicht mitbewegt.) Die Pe¬ 
riode betrug etwas weniger als die maximal erreichbare von 9 = 26 3 , nämlich 
26-25-26 = 16 900 (lediglich als Folge einer unzulänglichen mechanischen 
Konstruktion für die Mitnahme der Rotoren). Die Länge der Nachricht durf¬ 
te nicht zu groß sein: Für die Wehrmachts-ENIGMA war zunächst vorge¬ 
schrieben, daß kein Spruch länger als 180 (ab 13.1.1940: 250) Zeichen sein 
durfte. Die ,reguläre ‘ Fortschaltung der Rotoren der ENIGMA I und der 
Wehrmachts-ENIGMA geschah dann durch Verwendung einer Nut an den 
Einstellungen der Rotoren. 

Um wenigstens etwas Unregelmäßigkeit in die Ubertragszählung zu bringen, 
wurden die Nuten bei den neuen Rotoren I bis V der Wehrmachts-ENIGMA 
an verschiedenen Stellen des Einstellringes angebracht (Farbtafel H): 

Rotor i n in IV V 

Einstellbuchstabe Y M D R H 

Das war aber nur eine complication illusionaire , “a complication that defeats 
itself ” nannte Kahn sie ironisch: Hätten alle Rotoren die Nuten beim selben 
Buchstaben gehabt, hätten die Kryptanalysten (bei bekannten Rotoren) nicht 
durch die Buchstaben, bei denen die Fortschaltung geschah, unterscheiden 
können, welcher Rotor als ,schneller‘ Rotor eingesetzt war. Die Kriegsmarine 
merkte das anscheinend und legte die Nuten der beiden 1938 hinzugekom¬ 
menen Rotoren VI und VH sowie die des 1939 eingeführten Rotors VHI an 
die gleichen Buchstaben. Diese Rotoren hatten im übrigen zwei Nuten, eine 
beim Einstellbuchstaben H, eine beim Einstellbuchstaben U . 6 Während bei 
der kommerziellen ENIGMA die Nut mit dem Rotorkörper verbunden war, 
war sie bei den Rotoren der Wehrmachts-ENIGMA mit dem Ring verbunden, 
damit der Rotorantrieb auch von der Ringstellung abhing. 

Obwohl durch die zwei Nuten die Periode verkürzt wurde und die Gefahr einer 
superimposition (s. 19.1) wuchs — um sie zu bannen, wurde die Spruchlänge 
so drastisch beschränkt —, erschwerte diese kleine Unregelmäßigkeit die un¬ 
befugte Entzifferung. Welchman schrieb: “ We would have had great trouble if 
each wheel had had two or three turnover positions instead of one ” . Übrigens 
hätten drei Nuten die Periode nicht verkürzt, da 3 und 26 relativ prim sind. 
Wurde das von OKW/Chi übersehen? 

Eine Sonderausführung der ENIGMA für die unter Wilhelm Canaris stehende 
Abwehr besaß seltsamerweise kein Steckerbrett, wohl aber eine mitbewegte 
Umkehrwalze — es handelt sich also um eine echte Vier-Rotor-Maschine. Ein 
anderer Unterschied der Abwehr-ENIGMA zur ENIGMA D bestand in einem 
Rädertrieb zur Rotorbewegung anstelle der Nuten, beschrieben in einer Korn- 

6 Die Fortschaltung selbst ist erfolgt, wenn (um 19 Buchstaben versetzt) im Anzeigefenster 
R, F, W, K, A bzw. A oder N sichtbar werden. (In Bletchley Park gab es dazu den 
unsinnigen Merkspruch Royal Flags Wave Kings Above). 
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sehen Patentanmeldung vom 9.11.1928, DRP 534 947 (U.S. Patent 1938 028 
von 1933). Die Abwehr-ENIGMA hatte neue Rotoren, deren Schaltnocken, 
wie die Nuten bei den Rotoren der Wehrmacht-ENIGMA, mit dem Einstell¬ 
ring verbunden waren. Die drei Rotoren hatten 11, 15 und 17 (und nicht 19, 
wie Twinn berichtete) Schaltnocken; sie bereiteten Dillwyn Knox deshalb viel 
Kopfzerbrechen, aber es gelang ihm trotzdem, im Herbst 1941 die Abwehr- 
ENIGMA zu brechen 7 . Die Zahnradkuppelung der Rotoren erlaubte in Ver¬ 
bindung mit einem Zählwerk ein Vorwärts- und Rückwärtskurbeln (Abb. 61). 



Abb. 61. Rotor der Abwehr-ENIGMA von zwei Seiten, links mit Zahnkranz 
von 2X26 Zähnen, rechts mit Zahnpaaren als Schaltnocken 

8.5.4 Die TYPEX (Type-X) der Briten, unter der Aufsicht einer Regierungs¬ 
kommission entwickelt und 1935, nach neun Jahren, fertiggestellt, ähnelte in 
mancher Hinsicht der Wehrmacht-ENIGMA; sie hatte zwar fünf Rotoren, von 
denen aber zwei die am Eingang gelegenen nicht fortgeschaltet wurden. 
Die Lampenanzeige war durch einen Streifendrucker ersetzt. Die TYPEX 
war insofern kryptanalytisch äquivalent einer 3-Rotor-ENIGMA mit einem 
nicht-involutorischen Steckerbrett. Wesentliche Unterschiede bestanden je¬ 
doch in der Fortschaltung. Sie war ebenfalls regulär, aber grundsätzlich mit 
mehreren Nuten pro Rotor. Der Nutenring war, wie bei der kommerziel¬ 
len ENIGMA, fest mit dem Rotorring verbunden; der Rotorkörper (‘wiring 
slug’) saß in einem Gehäuse, das den Rotorring trug und mit Einstellbuch¬ 
staben versehen war. Die Rotorkörper konnten in zweierlei Orientierungen 
R oder R~ l eingelegt werden. In einer typischen Ausführung konnten fünf 
Rotorkörper aus zehn ausgewählt werden. Es gab Ringe mit fünf, sieben 
und neun Nuten, im letzteren Fall waren die Nuten so angeordnet, daß die 
Mitnahme erfolgte, wenn im Anzeigefenster einer der Einstellbuchstaben B, 
G, J, M, 0, R, T, V, X erschien. Nur Rotoren mit gleichen Nuten wurden 
zusammen gebraucht. 

Die Rotoren der italienischen OMI konnten aus einem Gehäuse, das die Nuten 
enthielt, und einem Paar von Rotorkörpern zusammengebaut werden, sodaß 
man von 14 Rotoren, die je zu zweien zugleich fortgeschaltet wurde, oder von 
7 Rotoren mit einer Auswahl aus (2 4 )=91 Rotoren sprechen konnte (Abb. 62). 


7 Knox entwickelte an der Abwehr-ENIGMA eine epezielle Terminologie: Die gleichzeitige 
Fortschaltung von Rn und Rm nannte er ‘crab’, die von Rn,Rm und Rl ‘lobster’. 
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Abb. 62. TYPEX Mark II (links) und 

Rotormaschine der Ottica Meccanica Italiana (rechts) 


Neben ENIGMAs gingen auch TYPEXs aus Restbeständen des 2. Weltkriegs 
nach 1945 in viele kleinere Länder; manche waren bis 1975 in Gebrauch. 

Seit den späten 40er Jahren bis in die frühen 60er benutzte die North Atlan¬ 
tic Treaty Organization (NATO) in den U.S.A. entwickelte Rotor-Chiffrier¬ 
maschinen für den multinationalen Gebrauch (man betrachtete die ameri¬ 
kanische SIGABA als zu gut, um mit anderen, kleinen Nationen geteilt zu 
werden). Die KL-7 (Abb. 63) besaß 5+2 Chiffrier-Rotoren; sie erinnerte im 
mechanischen Aufbau in mancher Weise an die britische TYPEX, sie hatte 
Plastik-Aufsteckringe, die die Mitnahme der Rotoren bewirkten. Die KL-7 
war eine der letzten Rotormaschinen, die je produziert wurden. Die Sicher¬ 
heit dieser Maschinen hatte sehr gut zu sein, da ihre Verfügbarkeit nicht auf 
die NATO-Mitglieder oder europäische Staaten beschränkt war. Hier zeigt 
sich erstmals deutlich die radikale Akzeptanz der Kerkhoffs’sehen Mahnung 
und Shannonschen Maxime (s. 11.2.3), daß ein Chiffrierverfahren auch noch 
sicher sein muß, wenn das Gerät in gegnerische Hände gefallen ist. In der Tat 
hatte bereits 1962 der U.S. Offizier Joseph G. Helmich den Sowjets technische 
Informationen über Rotoren und Schlüssellisten verkauft; er wurde erst 1982 
vom FBI verhaftet. Die Verwendung der KL-7 endete dann 1985 nach dem 
weiteren Spionagefall Walker — da war die Maschine ohnehin veraltet. 

Das Sowjet russische Gegenstück zu den westlichen Rotormaschinen, eine 
10-Rotor-Maschine, wurde von den Russen FIALKA („Veilchen“) genannt. 

8.5.5 In den U.S.A. hatte sich der große William Friedman früh mit den Ro¬ 
tormaschinen von Hebern , der mit der U.S. Navy Kontakt hatte, beschäftigt 
und sie 1925 auch empfohlen. Bei einem Test der Hebernschen Maschine 
gelang Friedman ein Meisterstück: Es wurden ihm zehn Nachrichten der 
ungefähren Länge 300, alle mit der gleichen Rotorenanordnung chiffriert, 
vorgelegt und die Anfangsstellungen der Rotoren mit geteilt. In zwei Wochen 
Arbeit gelang ihm die Lösung, die die Rekonstruktion der Verdrahtung min¬ 
destens einiger der Rotoren einschloß. Der dazugehörige Bericht wurde 1996 
freigegeben, offenbar wurde Friedmans index of coincidence (s. 16.1) benutzt. 
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Abb. 63. 

Rotormaschine KL-7 
(Deckname ADONIS) 



Die Navy unter Laurence F. Safford und die Army unter Friedman mit Sin- 
kov, Rowlett und Kullback suchten jahrelang nach Verbesserungen der He- 
beruschen Maschine. Hebern hatte schließlich 1932 eine zufriedenstellende 
Maschine HCM mit fünf Rotoren und einigermaßen unregelmäßiger Fort¬ 
schaltung. Friedmans Gruppe war jedoch damit nicht zufrieden. 

Um 1935 entwarf Friedman selbst für das U.S. Army Signal Corps eine auf der 
ENIGMA aufbauende Maschine M-325, die wegen einiger praktischer Mängel 
zunächst ebenfalls nicht eingeführt wurde (sie wurde 1944 als SIGFOY ge¬ 
baut). Dann wurde, wieder mit Nachdruck von der Navy, ECM MarkI, eine 
5-Rotor-Maschine mit Stiftwalzen-Fortschaltung entwickelt, die endlich auch 
den höchsten Ansprüchen genügte. Jedoch gelang es Frank Rowlett, wei¬ 
tere Verbesserungen anzubringen, die zur ECM Mark II führten, oft lediglich 
ECM genannt, bei der Army auch M-134-C und SIGABA, bei der Navy CSP 
889 (Abb. 64). Die SIGABA hat 15 Rotoren; fünf Chiffrierrotoren und fünf 
die einer unregelmäßigen Fortschaltung dienen, sitzen in einem entfernbaren 
Korb, weitere fünf sind in ihrer Wirkung einem Steckerfeld äquivalent. In 
den vierziger Jahren erwies sie sich als die sicherste Maschine der (westli¬ 
chen) Welt. Sie war aber auch die teuerste und die am besten bewachte. 
Das System war bis 1959 in Gebrauch. CCM ( c Combined Cipher Machine ’), 
auch als CSP-1700 bezeichnet, war eine hybride Maschine für Verbindungen 
mit SIGABA und TYPEX. 

Aus der Maschine von Hebern entstand nach 1934 mit weiteren Verbesse¬ 
rungen durch professionelle Kryptologen die noch im 2. Weltkrieg eingesetzte 
c Electric Cipher Machine ’ ECM Mark III, die lange Zeit Verwendung fand, 
obwohl sie nicht den höchsten Ansprüchen an Sicherheit genügte. 

8.5.6 Japan, auf dem Weg zur ostasiatischen Großmacht, konnte nach dem 
1. Weltkrieg nicht mehr ohne Diplomatie und damit nicht mehr ohne Krypto¬ 
logie auskommen. Seine Diplomaten benutzten, wie auch anderswo, Code¬ 
bücher. Ein polnischer Berater, Haupt mann Jan Kowalewski , lehrte sie die 
einfachsten Sicherheitsmaßnahmen, wie etwa die russische Kopulation (3.4). 
Von 1919 bis Frühjahr 1920 führten die Japaner elf Codebücher ein, darunter 
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Abb. 64. 

Rotormaschine ECM 
(M-134-C SIGABA, CSP 889) 

umfangreiche mit 25 000 Codegruppen. Die japanischen Funksprüche fanden 
naturgemäß das Interesse der ‘ Black Chamber , des U.S. State Departments, 
die mit Unterstützung der Abteilung MI-8 des U.S. War Departments nach 
1918 von Herbert Osborne Yardley (1889-1958) aufgebaut worden war. Offi¬ 
ziell war sie der Military Intelligence Division unterstellt, unter gebracht war 
sie, unter strenger Abschirmung, in New York City; nach einem Einbruch 
bediente sie sich ab 1925 der Deckung einer Code Compiling Company , die 
auch tatsächlich den Universal Trade Code erstellte und vertrieb. Yardley 
und seine Leute waren recht fleißig und auch erfolgreich; im Sommer 1921 
entzifferten sie ein Telegramm des japanischen Botschafters in London an sein 
Außenministerium, das delikate Informationen über die gerade in Vorberei¬ 
tung befindliche Internationale See-Abrüstungskonferenz enthielt. Bis 1929 
wurden insgesamt 45 000 Telegramme aus aller Herren Länder entziffert. 

Am 4. März 1929 trat Herbert C. Hoover sein Amt als 31. Präsident der Verei¬ 
nigten Staaten an, und manches änderte sich. Hoovers Blauäugigkeit ließ ihn 
und seinen Secretary of State Henry L. Stimson auf die anrüchigen Dienste 
der Entzifferer verzichten; die Black Chamber wurde zum 31. Oktober 1929 
kurzerhand aufgelöst, die Unterlagen gingen an das Signal Corps der Army, 
das Friedman leitete. Yardley mußte sich eine andere Stellung suchen, fand 
aber auf dem Höhepunkt der Depression keine. Er mußte also Geld verdienen 
und entschloß sich in seiner Verbitterung und Not, ein Buch der Enthüllung 
und Abrechnung zu schreiben mit dem Titel “The American Black Cham- 
ber” (Indianapolis, 1931). Yardley war ein glänzender Geschichtenerzähler 
und das Buch wurde sogleich ein großer Erfolg. Er zog sich dadurch nicht nur 
den Zorn der Regierung zu — immerhin, meinte er zu seiner Rechtfertigung, 
habe das State Department die Interessen der Vereinigten Staaten sowohl 
durch die Auflösung der Black Chamber wie auch durch die Verwendung 
von “sixteenth-century codes” geschädigt, und die moralische Verurteilung 
der Aufdeckung stünde gerade dem State Department nicht zu. Er zog sich 
aber auch harte Kritik von Seiten seiner sachkundigen Kollegen zu, die besser 
als Stimson wußten, daß im Hinblick auf eventuelle kriegerische Verwicklun- 
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gen die nationalen Interessen nicht nur keinen Geheimnisbruch, sondern auch 
keine Unterbrechung der kryptologischen Kompetenz erlaubten. 

Der Fall Yardley hatte ein parlamentarisches Nachspiel: Der 73. Congress 
der U.S.A. diskutierte 1933 kontrovers eine Gesetzesvorlage der Roosevelt- 
Administration, die die Veröffentlichung entzifferter Nachrichten strafbar ma¬ 
chen sollte. Die Verfechter der Pressefreiheit unterlagen; Public Law 37, die 
Lex Yardley, ging in die Section 952, Title 18 des United States Code. Yard- 
ley selbst blieb von Strafverfolgung verschont. 

Yardley hatte neunzehn Länder aufgezählt, deren diplomatische Codes kom¬ 
promittiert waren; darunter eff süd-und mittelamerikanische sowie Liberia 
und China, was niemand wunderte; weiterhin England, Frankreich, Deutsch¬ 
land, Spanien und die Sowjet-Union, wo zumindest offiziös niemand morali¬ 
schen Abscheu äußern konnte (man sagt, daß in den 20er Jahren jedes größere 
europäische Land seinerseits im Besitz eines oder mehrerer amerikanischer 
Codebücher war) - und Japan. 

Das Buch wurde jedenfalls ein Riesenerfolg, 17 931 verkaufte Exemplare in 
den U.S.A., dazu weitere 5 480 in Großbritannien waren für ein Kryptolo¬ 
giebuch unerhörte Zahlen. Übersetzungen erfolgten ins Französische, Schwe¬ 
dische, Chinesische und ins Japanische. Dort wurden sogar sensationelle 
33 931 Exemplare verkauft, und das zeigt, daß Yardley den Nerv der japani¬ 
schen Seele getroffen hatte. 

Dort ließ sich sogar ein Abgeordneter zu harten Worten hinreißen, er sprach, 
das Außenministerium kritisierend, vom „Bruch des Vertrauens“, der di¬ 
plomatische Konsequenzen haben müsse; der Außenminister und ehema¬ 
lige japanische Botschafter in Washington zur Zeit der Internationalen See- 
Abrüstungskonferenz sprach von einer „Schande“. Yardley wurde beschimpft. 
Dabei hatte er Japan den größten Dienst erwiesen, zu dem er fähig war: Es 
war der Anstoß zu einer radikalen Verbesserung der kryptologischen Sicher¬ 
heit in Japan. Um diese zu gewinnen, vervielfachten die japanischen Dienste 
ihre bereits begonnenen Anstrengungen auf maschinelle Chiffrierung. 
Yardley wurde 1938 von Chiang Kai-shek angeheuert und brach japanische 
Spalten-Transpositionen. 1940 ging er nach Canada, wo er aber 1941, ver¬ 
mutlich auf britisch-amerikanischen Druck, durch den erprobt zuverlässigen 
Oliver Strachey ersetzt wurde. 

8.5.7 Einem bewährten Muster folgend, studierten die Japaner die Ma¬ 
schinen anderer Länder, insbesondere die bereits durch die Patentliteratur 
zugängliche ENIGMA, die Maschinen von Damm-Hagelin und die Maschine 
von Hebern. Für Maschinen, die das lateinische Alphabet ( romaji ) verwen¬ 
deten, wurde die gängige Transliteration von Hepburn benutzt. Der japa¬ 
nische Nachbau der ENIGMA D, von den Amerikanern GREEN genannt, 
war eine seltsam anmutende Konstruktion mit vier stehend angeordneten 
Rotoren (Abb.65), er bekam keine größere Bedeutung. Die Halbrotoren 
von Damm fanden sich wieder in der von den Amerikanern RED genann¬ 
ten angökikaitaipu A („Chiffrier Maschine Typ A“). Sie hatte neben einer 
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Abb. 65. Japanischer ENIGMA-Nachbau, GREEN-Maschine 



Abb. 66. Halbrotor mit 26 Schleifringen in der ango kikai taipu A (RED-Maschine) 


festen Permutation durch ein Steckerfeld einen Halbrotor mit 26 Schleifrin¬ 
gen (Abb. 66). Die Verdrahtung permutierte die sechs Vokale in sich und 
damit auch die 20 Konsonanten in sich und brauchte damit 60 Ausgangs¬ 
kontakte, da 60 das kleinste gemeinsame Vielfache von 6 und 20 ist. Der 
Grund für diese kryptologisch eher nachteilige Trennung lag vielleicht in den 
Tarifbestimmungen der internationalen Telegraphie. Die Fortschaltung ge¬ 
schah durch ein Antriebsrad mit einer 47-er Teilung, wobei 4, 5 oder 6 Stifte 
entfernt wurden und damit eine Unregelmäßigkeit erzielt wurde. Krypto¬ 
logisch bewirkte angökikai taipu A zwei separate ALBERTI-Chiffrierungen 
der Vokale und der Konsonanten; mit einer fast regulären Fortschaltung, 
nicht viel besser als die Maschine von Kryha. RED wurde bereits 1935 von 
Kullback und Rowlett von der U.S.Army angegriffen und 1936 vollständig 
rekonstruiert (im Nachbau wurden zwei Halbrotoren, einer mit 6, einer mit 
20 Schleifringen verwendet, Abb. 67). Im Frühjahr 1936 machte sich bei Pers 
Z im Auswärtigen Amt Werner Kunze daran, eine über dem Kana-Alphabet 
arbeitende Variante, von den Amerikanern ORANGE genannt, aufzuklären, 








8.5 Maschinen mit eingebauten Schlüsselerzeugern 149 


es gelang ihm im September 1936. Bei der U.S.Navy löste diese Aufgabe 
Jack S. Holtwick. Auch in Großbritannien begann man noch vor Kriegsaus¬ 
bruch, die japanischen Chiffriermaschinen bis hin zu RED und ORANGE zu 
beherrschen. 



Abb. 67. Amerikanischer Nachbau RED der angooki taipu A mit zwei Halbrotoren 

1937 begann Japan dann mit der Entwicklung einer wesentlich sichereren 
Chiffriermaschine, die 1939 eingeführt wurde — die erste aufgefangene, damit 
chiffrierte Nachricht ging im März 1939 von Warschau nach Tokio — und im 
diplomatischen Dienst die RED-Maschine ablöste. Die von den Amerikanern 
PURPLE genannte angö kikai taipu B (auch 97-shiki obun injiki, Alphabeti¬ 
sche Schreibmaschine, Jahr 2597 des japanischen Kalenders) zeigte ein neues, 
von den Japanern erstmals verwendetes Prinzip: Schrittschalter, die in der 
Vermittlungstechnik bekannt waren. Die Aufteilung in 6 und 20 Zeichen wur¬ 
de beibehalten, obwohl später die sechs Zeichen nicht mehr ausschließlich Vo¬ 
kale sein mußten. Es standen nunmehr nur noch 25 Alphabete zur Verfügung, 
die allerdings auf komplizierte, durch Verdrahtung festgelegte Weise gebildet 
sind. Die Aufdeckung der inneren Struktur erforderte monatelange Arbeit 
einer ganzen Gruppe, zu der neben Frank Rowlett Robert Ferner , Albert 
Smaii, Sam Snyder , Genevieve Feinstein (nee Grotjan), Mary Jo Dunning 
gehörte. Sie gelang zunächst für die 6 Vokale, und es gab auch Anzei¬ 
chen, daß 25 Alphabete im Spiel waren; für die 20 Konsonanten war jedoch 
keine Gesetzmäßigkeit in diesen Alphabeten zu erkennen — bis Leo Rosen , 
ein Neuling, mit einer Broschüre ankam, die einen Schrittschalter mit 25 
Stellungen beschrieb (Abb. 68). Damit war der Durchbruch eingeleitet, ein 
Nachbau gelang, und im August 1940, nach 18 Monaten Arbeit, war PUR¬ 
PLE voll aufgedeckt. Im Januar 1941 bekamen die Briten in Bletchley Park 
einen PURPLE-Nachbau. Für den Erfolg war natürlich die enge Verwandt¬ 
schaft zwischen RED und PURPLE entscheidend, und viele Schwachstellen in 
der Chiffrierdisziplin der Japaner gaben Anhaltspunkte, Hinweise und wahr¬ 
scheinliche Phrasen, aber es war ein Sieg der U.S. Army Kryptanalysis über 
die Japaner u that has not been duplicated elsewhere ... the British crypt- 
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analytic Service and the German cryptanalytic Service were bafRed in their 
attempts v (Friedman). In strategischer Hinsicht war der Bruch der PURPLE- 
Chiffrierung von höchster Bedeutung; die Amerikaner hatten für das so er¬ 
haltene Material das Codewort MAGIC. Otto Leiberich berichtet aber, daß 
auch die Deutschen PURPLE entzifferten. David Kahn glaubt zu wissen, 
daß sogar die Sowjetunion PURPLE brach. 

Die Briten hatten aber fast zur gleichen Zeit auch ihren Triumph: ULTRA 
nannten sie ihr durch einen tiefen Einbruch in deutsche Kryptosysteme, dar¬ 
unter die ENIGMA der Wehrmacht, erhaltenes kostbares Material. 

Sobald die PURPLE-Maschine rekonstruiert war, bot sie übrigens keineswegs 
mehr Sicherheit als RED. Man kann den Eindruck gewinnen, daß die Japaner 
die Geschicklichkeit der Amerikaner unterschätzten und daß sie glaubten, ihre 
Sprache biete allein schon einen gewissen Schutz und würde anderswo nicht 
so leicht verstanden. Mit Schrittschaltern bauten die Japaner weitere Typen: 
Eine, die die Amerikaner CORAL nannten, hatte nunmehr die Aufteilung 
20+6 aufgegeben (sie wurde von OP-20-GY Mitte März 1944 gebrochen), 
eine andere, JADE, die mit 50 Zeichen, davon 24 häufige und 24 seltene 
Kana-Zeichen, arbeitete (sie war nur unwesentlich verschieden von CORAL 
und wurde ebenfalls bald gebrochen). 



Abb. 68. Schrittschalter-Bank aus der japanischen PURPLE-Maschine 


Die Japaner hatten auch eine sehr durchsichtige Systematik in ihren täglichen 
Steckerbrett-Anordnungen und die schlechte Gewohnheit, Änderungen in ih¬ 
ren Chiffrieranweisungen stets als chiffrierte Nachrichten zu übermitteln — 
wodurch der Gegner, sobald ihm einmal ein Einbruch gelungen war, stets 
bestens informiert blieb. Frank Raven entdeckte 1941 sogar einen Schlüssel 
zu den Schlüsseln: jeweils ein Satz von zehn gleichbleibenden Permutationen. 
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8.6 Bildung von Schlüsselfolgen durch Iteration 

8.6.1 Für VIGENERE- und BEAUFORT-Verfahren braucht man allgemein 
,unregelmaßige c Folgen von Zykelzahlen aus Z N . Eine gebräuchliche Me¬ 
thode hierfür benutzt sukzessive Potenzen modulo N einer /c-reihigen re¬ 
gulären, von der Identität verschiedenen Matrix T. Da die Anzahl solcher 
Matrizen (vgl. 5.2.3) höchstens N k beträgt, muß eine gewisse Potenz T r 
erstmals die Identität ergeben, r = r(T, N) heißt Ordnung der Matrix T 
in Z N . 

Beispielsweise hat die Matrix T — ^ j ^ mit k = 2 in Abhängigkeit von 
N folgende Ordnung r 

N= 2 3 4 5 6 7 8 9 10 11 12 13 16 20 23 24 25 26 32 48 64 80 160 
r = 3 8 6 20 24 16 12 24 60 10 24 28 24 60 48 24 100 84 48 24 96 120 240 

(siehe auch 9.4.2). Greift man ein geeignetes Uj-Element der Matrixpotenzen 
heraus, so erhält man eine Folge von Zykelzahlen mit der Periode r(T, N ). 
Speziell eignet sich für T eine /c-reihige ,Begleitmatrix c der Form 

/0 0 0 ... 0 au 

1 0 0 ... 0 Qik-i 

0 1 0 ... 0 

A = 

0 0 0 ... 0 «2 

Vo 0 0 ... 1 ai 

Das 1-fc-Element der Potenzen dieser Matrix ergibt sich dann als letztes 
Element des iterierten Vektors U — t$A l = U-\A , wenn man beginnt 
mit to — (1 0 0 ... 0 0). 

Zur Bildung dieser iterierten Vektoren benutzt man ein Schieberegister 
mit k Plätzen. Schieberegister in Verbindung mit einer Begleitmatrix heißen 
auch lineare Schieberegister. Sie bieten über eine Basisanalyse leichte Ein¬ 
bruchmöglichkeiten (s. 20.3). Bei nichtlinearen Schieberegistern erfolgt die 
Bildung des jeweils nächsten Wortes der Folge durch eine beliebige Funktion. 
Einfache Maßnahmen zur Einführung einer Nichtlinearität, wie etwa das Um¬ 
drehen der Reihenfolge der Komponenten nach jedem Schritt, sind gefährlich: 
Sie können sogar zu einer Verkürzung der Periode führen ( Selmer 1993, Bry- 
nielsson 1993). 

8.6.2 Für den binären Fall N—2 handelt es sich um (0, l)-Folgen. Bei¬ 
spielsweise ergibt die Matrix (fc = 3) 

/0 0 1 
A= 1 0 1 
\0 1 0 

modulo 2 die Folge (0 10111001011100101110 ...) der Periode 
7 = 2 3 —1. Da es 2 k verschiedene fc-Bit-Vektoren gibt, und der Nullvektor 
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in sich übergeht, ist klar, daß 2 k —l die maximale so erzielbare Periode ist. 
Es läßt sich zeigen (Oystein 1948): 

Wenn das Polynom x k —a\x k ~ 1 —a 2 X k ~ 2 —.. . — ak im Körper J. 2 = GF{2) 
irreduzibel ist, so hat jede mit A iterierte Vektorfolge eine Periode, die ein 
Teiler von 2 k —l ist . 8 

Ist 2 k —l prim (2 k —l heißt dann Mersenne-Primzahl 9 ), so gibt es nur die 
Perioden 2 k —l und 1 ; zu letzterer gehört die triviale Folge (0 0 0 0 ...) . 

Für N=2 , also in Z 2 , gibt es nur zwei Permutationen und keine zweigliedrige 
Rotorfamilie. Es verbleiben nur die VIGENERE- und BEAUFORT-Schritte 
40 und +L, d.h. die VERNAM-Schritte 0 = 0 und L = 1 . Polyal¬ 
phabetische binäre Chiffrierung erfordert besonders eine hohe Periode und 
einen guten Mechanismus zur Erzielung einer ,unregelmäßigen 4 (0, l)-Folge. 

8.6.3 Grundsätzlich kann man aus jeder Menge monoalphabetischer Block- 
Chiffrierschritte Xi einheitlicher Chiffrierbreite m , die dabei sehr groß 
sein kann, eine endliche Folge (vgl. 2.3) X = (%^, x* 2 , ... , XiJ bilden 
und X auf einer Ausgangsnachricht u = ( 2 x 1 , 2 x 2 ,..., u s ) iterieren; die 
progressive Folge 

u , X{u) , X 2 {u) , X 3 (u) , ... 

wird zwar periodisch, aber meistens von sehr großer Periode . 10 Beispielsweise 
wird in 9.5.2 X als ft-te Potenz modulo einer Primzahl p definiert, 

X(u) = u h mod p , X s (u) = u( hS ^ mod p . 

8.7 Nichtperiodische Schlüssel 

Eine nichtperiodische Chiffrierung (2.3.6) erfordert 9 > 2 und eine nicht¬ 
periodische Folge (xi 1 , Xi 2 ) h 3 • •. ) von Chiffrierschritten. Sie wird 
charakterisiert durch die Indexfolge (zi , 22 , 23 , ... ) mit 0 < i^ < 9 , oder 
durch den echten Bruch .212223 ... im Zahlsystem zur Basis 9 > 2 . Damit 
gibt es zu jeder irrationalen reellen Zahl und jedem 9 eine nichtperiodische 
Chiffrierung. 

8.7.1 Eine nichtperiodische Chiffrierung wie etwa (für 9 = 2) eine mit der 
unendlichen Indexfolge (dem fortlaufenden Schlüssel 4 ) 

(1101000100000001 ...) 

8 Für k = 31 ist das Polynom x 31 + x 13 + 1 irreduzibel, die zugehörige Periode 2 31 — 1 
beträgt über 2 Milliarden. 

9 Dies ist der Fall für k = 2, 3, 5, 7, 13, 17, 19, 31, 61, 89, 107, 127. Die Primalität 
von 2 61 — 1 wurde erst 1883 von Pervusin bewiesen, die Primalität von 2 127 —1 schon 
1876 von Lucas. Mit Hilfe der SWAC wurden 1952 von Ralph M. Robinson 2 521 —1, 
2 607 — 1 ? 2 1279 — 1, 2 2203 — 1, 2 2281 — 1 als prim nachgewiesen. Weitere 14 folgten, dann 
2 756839_ 1 ( 19 92) 5 2 859433 —1 (1994), 2 1398269 -1 (1996), 2 2976221 -1 (1997), 2 3021377 -1 
(1998), 2 6972593 -l (1999) — eine Verzehnfachung des Exponenten in 7 Jahren. 

10 Nach Robert Floyd kann man mit hohem Rechenaufwand, aber mit minimalem Spei¬ 
cheraufwand die Periode von X folgendermaßen feststellen: Sei ao = u , bo = u und 
a*+i = X(a,i) , bi +1 = X 2 (bi) . Sobald a n = b n , ist X n (u) = X 2n (u) und n ist die 
Periode. 
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d.h. 


1 falls fi = 2 k 
0 sonst 


bringt gegenüber einer periodischen Chiffrierung keinen Vorteil. 


Aber auch eine fortlaufende Chiffrierung mit der Indexfolge der ,Mephisto- 
Polka c (Axel Thue 1904, Marston Morse 1921), wie sie von Max Euwe schon 
1929 benützt wurde, 


10010110011010010110 ... 


hat ein einfach zu durchschauendes Bildungsgesetz des Schlüssels, das eine 
rekursive Berechnung erlaubt. Und die fraktale Wortfolge 


a 0 = (0) 

«i = (!) 

a 2 = (0 1) 

a 3 = (1 0 1) 

o 4 = (0 1 1 0 1) 

o 5 = (1 0 1 0 1 1 0 1) 

o 6 = (0 11011010110 1) 

o 7 = (10101101011011010110 1) 


die durch das Lindenmayer-Ersetzungssystem (Aristide Lindenmayer , 1968) 



erzeugt wird, hat ebenfalls ein durchschaubares Bildungsgesetz: es ist 
für i > 2 di = di -2 o di- 1 . 

Wie kommt man zu einer ,unregelmäßigen c nichtperiodischen Indexfolge, die 
ja dem Chiffrierer und dem Dechiffrierer bekannt sein muß, auf bequeme 
Weise ? 

Auf die Idee, als Schlüssel einen Text aus einem weit verbreiteten Buch zu 
nehmen, kommen vor allem Amateure immer wieder, aber eingedenk der 
Grundregel „der Feind kennt das benutzte System“ ist das ein festes Ver¬ 
fahren, mit allen schon in 2.6.1 aufgeführten Gefahren. Für verständliche 
Schlüsseltexte in einer geläufigen Sprache gibt es ein systematisches Zick- 
Zack-Verfahren (14.4), das bei Shannonschen Chiffrierschritt-Systemen mit 
bekannten Alphabeten (2.6.4) anwendbar ist. 

8.7.2 Es darf also nicht verwundern, daß schon frühzeitig Möglichkeiten 
ersonnen wurden, einen nicht periodischen Schlüssel aus dem Klartext selbst 
abzuleiten. Der entscheidende Schritt kommt von Geronimo Cardano (1501— 
1576). Nachdem Belaso polyalphabetische Substitutionen mit Schlüsseln ein¬ 
geführt hat, geht Cardano in seinem Buch De Subtilitate 1550 so vor, daß er, 
für jedes Wort neu beginnend, den Klartext von Anfang an benutzt: 11 

11 Alphabet Z20 U {x,y} , Chiffrierung linear polyalphabetisch mit 
abcdefghilmnop q r s t v x y z 

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 ’ 
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sic ergo elementis 

SIC S I C E SICERGOEL. 

NTF ZCLT ZVHRYVIPE 

Die Idee (engl, autokey, frz. autoclave , autochiffrant) war gut gemeint, ja so¬ 
gar bestechend; aber Cardano hat wohl selbst nie die Dechiffrierung versucht: 
Die Chiffrierung des Startwortes mit sich selbst als Schlüssel ist nämlich nicht 
eindeutig umkehrbar: s und S wie auch f und F ergeben N; i und I wie 
auch x und X ergeben T ; c und C wie auch p und P ergeben F etc. 
Der unbefugte Dechiffrierer hat nicht mehr Arbeit, die richtige Kombination 
unter 2 k Kombinationen (wenn das erste Wort k Buchstaben hat) herauszu¬ 
finden, als der berufene Dechiffrierer. Belaso suchte den Mangel zu beheben, 
indem er das erste Wort nach Trithemius chiffrierte und für jedes weitere 
Wort einen progressiven Schlüssel, beginnend mit dem Anfangsbuchstaben 
des vorhergehenden Wortes, benutzte: 

sic ergo element is 

ABC S T V X EFGHILMNO . 

TME ZNDM LRNVPZGYH 

Aber das war immer noch ein festes Verfahren. Vigenere hatte dann die 
rettende Idee, doch einen frei wählbaren Schlüsselkeim (‘ priming key 7 ) ins 
Spiel zu bringen: Er wählte den ersten Buchstaben des Schlüssels frei und 
nahm sodann als weitere Schlüsselbuchstaben entweder die des Klartextes 
oder die des Geheimtextes (‘ autokey 7 ): 
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o 


Die polyalphabetische Chiffrierung über Z 2 o (Abb. 69) war dabei involuto- 
risch, ähnlich Porta (Abb. 53), und nicht ä la VIGENERE. 

Die zweite Art ist allerdings unbrauchbar: Der Schlüssel ist vollständig expo¬ 
niert, die ganze Nachricht kann bis auf das erste Zeichen sofort entschlüsselt 
werden ( Shannon 1949). Nur wenig besser ist es beim rekurrenten Verfah¬ 
ren der ersten Art: Man muß den Anfangsbuchstaben des Schlüssels kennen, 
um weiterzukommen. Die zwei Dutzend Möglichkeiten sind allerdings schnell 
durchprobiert. Das wird besser, wenn nicht nur der erste Buchstabe, sondern 
d Schlüsselbuchstaben als Anfang vorgegeben werden. Die kombinatorische 
Komplexität ist allerdings nicht anders als die einer Chiffrierung mit einem 
periodischen Schlüssel der Länge d . Zwar ist bei hinreichend langem Anfang 
kein Durchprobieren mehr möglich, aber die ersten d Zeichen werden, wenn 
man den gleichen Anfang wiederholt verwendet, in einer Reihe von Nachrich¬ 
ten mit dem gleichen Schlüssel chiffriert; das kann zum Einbruch genügen. 

Nachteilig ist insbesondere die Verschleppung von Chiffrierfehlern bei diesem 
Verfahren — generell eine Schwäche aller autokey . 
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Abb. 69. Involutorische polyalphabetische Chiffrierung von Vigenere 


Babbage erfand den autokey wieder — diesmal sogar mit einem permutierten 
Alphabet und gab dann auch ein Verfahren an, ihn zu brechen. Erst Shan¬ 
non scheint 1949 bemerkt zu haben, daß rekurrentes VIGENERE-Verfahren 
zu VIGENERE-Verfahren der Periode 2 ähnlich ist. Wird der Klartext in 
Gruppen a\ CL 2 «3 ... der jeweiligen Länge d abgeteilt und ist D der 
Schlüsselkeim, so gelten für den Geheimtext C\ C 2 C 3 ... (Stelle für Stelle 
mod. N ) die Beziehungen 

Ci = di + D , Ci = üi + CLi—i (i = 2, 3, ...) 


und somit die rekurrenten 
Ci 

c 2 -c 1 

C 3 - c 2 + C 1 

C 4 - C 3 + C 2 - Ci 


Beziehungen 
= CLi + D 

= Clo D 
= cl 3 +D 
= a : \ — D usw 


die Folge 


c x , C 2 - Ci , C 3 - C 2 + Gl , C 4 - c 3 + C 2 - Gl , ... 

läßt sich also behandeln wie ein polygraphisches VIGENERE-Verfahren der 
Periode 2, d.h. wie zwei alternierende polygraphische CAESAR-Additionen. 
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Auch die Verwendung eines permutierten Alphabets ändert daran nichts. 
Entsprechendes gilt für rekurrentes BEAUFORT-Verfahren. 

8.7.3 Bei den Chiffrier-Fernschreibern T52d, T52e von Siemens und SZ42 
von Lorenz konnte, wie schon 1920 von Damm vorgeschlagen ( e inßuence 
letter’), die unregelmäßige ‘ Fortschaltung vom Klartext beeinflußt werden 
(„mit Klartextfunktion“), die Chiffrierung war damit praktisch nichtperi¬ 
odisch. Bei gestörten Leitungen führte das allerdings zu einem ,Außer-Tritt- 
Fallen^ der Chiffrierung; die Klartextfunktion wurde deshalb, zur Erleichte¬ 
rung der britischen Entzifferer, nur wenige Monate Ende 1944 gebraucht. 

8.7.4 Besser als die rekurrenten Chiffrierungen der Art q = f(pi,Pi~ i) , 
die Vigenere und Babbage benutzten, ist eine StromchifFrierung ( streamci- 
pher ) C{ = X(pi,k{) , eine schließlich periodische Chiffrierung, bei der die un¬ 
endliche Schlüsselfolge k{ durch einen endlichen Automaten G als Schlüssel¬ 
erzeuger (engl, key gen erator), ki = G(/^_i,p^_i) , gewonnen wird; mit k\ 
als Schlüsselkeim ( priming key ). 

8.8 Individuelle Einmal-Schlüssel 

8.8.1 Nachdem einfache rekurrente Chiffrierverfahren nichts bringen, ver¬ 
bleibt noch, Sender und Empfänger mit einem theoretisch unbegrenzten Vor¬ 
rat eines fortlaufenden , echt unregelmäßigen, sinnlosen und zufälligen, nur 
ein einziges Mal vorhandenen und zu gebrauchenden ,individuellen‘ Schlüsels 
auszurüsten. Diese Idee, von Vernam 1918 eher nebenbei geäußert, griff zwi¬ 
schen den Weltkriegen rasch um sich; in den U.S.A., in der Sowjetunion und 
in Deutschland gibt es frühe Spuren. 

8.8.2 Joseph O. Mauborgne, der später Major General und Chief Signal Of- 
ficer, U.S.Army (1937-1941) wurde, hatte Parker Hitts Mahnung von 1914 
im Ohr — “no message is safe in [the Larrabee] cipher unless the key phrase 
is comparable in length with the message itself” — und führte an Hand der 
VERNAM-Maschine (8.3) den Einmal-Schlüssel (engl, one-time tape, one- 
timepad , OTP) ein, der, über Morehouse (8.3.2) hinausgehend, ein völlig un¬ 
regelmäßiger, aperiodischer individueller Schlüssel (im Jargon ,i-Wurm‘) 
sein sollte. 12 

In Deutschland propagierten Kunze, SchaufEer und Langlotz schon 1921 
Blöcke mit 50 Blättern, die je 240 Ziffern (in 48 Gruppen von Fünfen) enthiel¬ 
ten, zur Überschlüsselung numerischer Codes. Das Auswärtige Amt verwen¬ 
dete seit 1926 regelmäßig Überchiffrierung (9.2.1) durch Einmal-Schlüssel. 

Auch die Sowjets gingen 1926 zum Gebrauch individueller Schlüssel über, 
sehr zum Leidwesen von Fetterlein , dem Spezialisten für die Sowjetunion 


12 Einmal-Schlüssel sollte man also bestimmungsgemäß nach Gebrauch sofort vernichten. 
Bei VERNAM-Geräten kann das maschinell geschehen, beim Siemens Schlüsselfern¬ 
schreiber SFM T 43 geschah es auf diese Weise. 
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im britischen M.I.l(b). Die Sowjets behielten eine Vorliebe für individuelle 
Schlüssel; Farbtafel O zeigt ein russisches Blatt, bei einem Spion aufgefunden. 
Eine große praktische Schwierigkeit liegt darin, genügend Schlüsselmaterial 
für umfangreichen Nachrichtenverkehr zur Verfügung zu stellen, insbeson¬ 
dere in instabilen Situationen auf dem Schlachtfeld. Diese Schwierigkei¬ 
ten sind eher zu bewältigen bei höheren Stäben des Militärs, bei diplo¬ 
matischen Vertretungen, und im rein zweiseitigen Nachrichtenverkehr mit 
Spionen; in solchen Situationen werden individuelle Einmal-Schlüssel für 
Nachrichten der höchsten Sicherheitsstufe häufig benützt, vorausgesetzt der 
Schlüsselnachschub kann nicht abgeschnitten werden. 

8.8.3 Die Ziffernfolgen oder Zeichenfolgen sollten natürlich keinerlei Ge¬ 
setzmäßigkeit genügen, sondern ,zufällig‘ sein. Gute stochastische Quellen 
für (Pseudo-)Zufallszahlenfolgen sind aber teuer. Dazu bemerkt Kahn (über 
russische individuelle Schlüssel): 

Interestingly, some pads seem to be produced by typists and not by machines. They 
show strike-overs and erasures — neither likely to be made by machines. More 
signißcant are Statistical analyses of the digits. One such pad, for example, has seven 
times as many groups in which digits in the l-to-5 group alternate with digits in 
the 6-to-0 group, like 18293, as a purely random arrangement would have. This 
suggests that the typist is striking alternately with her left hand (which would type the 
l-to-5 group on a Continental machine) and her right hand (which would type the 
6-to-0 group). Again, instead of just half the groups beginning with a low number, 
which would be expected in a random selection, three quarters of them do, possibly 
because the typist is spacing with her right hand, then starting a new group with her 
left. Fewer doubles and triples appear than chance expects. Possibly the girls, ordered 
to type at random, sensed that some doublets and triplets would occur in a random 
text but, misled by their conspicuousness, minimized them. Despite these anomalies, 
however, the digits still show far too little pattem to make cryptanalysis possible. 

8.8.4 Stammt der individuelle Schlüssel aber aus einer stochastischen Quelle, 
die alle Zeichen mit gleicher Wahrscheinlichkeit und voneinander unabhängig 
abgibt, so gilt der damit chiffrierte Geheimtext als ,unbrechbar ‘ (engl. 
holocryptic 13 ) . Was damit intuitiv gemeint ist, scheint auf den ersten Blick 
klar zu sein; es wird sich auch lohnen, in der Kryptanalysis zu verfolgen, wie 
sämtliche Lösungsmethoden an Voraussetzungen gebunden sind, die nach 
der zu gebenden Definition verletzt sind. Das ist jedoch kein Beweis; in der 
Tat geht es um eine geeignete präzise Formulierung von ,unbrechbar‘. Sie 
muß stochastischer Natur sein. Am deutlichsten hat, auf A. N. Kolmogorov 
zurückgreifend, 1974 Gregory J. Chaitin eine solche vorgezeichnet. Ihm und 
Claus-Peter Schnorr (1970) folgend verlangen wir, daß für die unendliche In¬ 
dexfolge einer nichtperiodischen, fortlaufenden Chiffrierung, die ,unbrechbar‘ 
genannt werden soll, gilt: 

Für jede endliche Teilfolge gibt es keine kürzere algorithmische 
Beschreibung als die Auflistung der Teil folge — keine Teil folge 
ist in eine kürzere Beschreibung , komprimier bar c . 

13 Den Ausdruck verwendete schon Pliny Earle Chase 1859. 
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Damit scheiden als unendliche Indexfolgen alle Ziffernfolgen aus, die durch 
einen festen Algorithmus, also maschinell, erzeugt werden, insbesondere alle 
rationalen oder irrationalen Zahlen (8.7) — sofern sie berechenbar sind. 14 

Nicht-berechenbare reelle Zahlen gibt es immer noch überabzählbar viele. Ob 
aber zu jeder von ihnen eine ,unbrechbare ‘ fortlaufende Chiffrierung gehört, 
ist nicht bekannt. 

8.8.5 Physikalische Effekte, die heute zur Erzeugung „echter“ nichtperiodi¬ 
scher zufälliger Schlüssel dienen können, beruhen auf der Überlagerung in¬ 
kommensurabler Schwingungen oder auf chaotischen nichtlinearen Systemen. 
Sie sind anscheinend zuverlässiger als die um 1950 benutzten Rauscheffekte 
von Röhren und Zener-Dioden oder Geigerzähler-Aufzeichnungen. Röhren¬ 
rauschen wurde bereits 1943 benutzt zur Herstellung individueller Schlüssel 
für das britische ROCKEX-System, eine VERNAM-Chiffrierung, die dem 
hochgesicherten Verkehr der Briten mit den USA — etwa eine Million Wörter 
pro Tag, heute der Inhalt von vier ß.ö'^HD-Disketten pro Tag diente. 

8.8.6 Die Wehrmacht führte 1943 für die höchste Führungsebene 15 Fern¬ 
schreibmaschinen mit angebautem Lochstreifenleser für individuelle Einmal- 
Schlüssel ein (Siemens Schlüsselfernschreibmaschine T 43, mit Blattschreiber 
T typ37f). Sie wurden 1944 zwischen der Funkfernschreibstelle Golßen bei 
Berlin und einigen Heeresgruppen sowie dem Führerhauptquartier in Ost¬ 
preußen als Ersatz für SZ42 eingesetzt. Nach dem 20. Juli 1944 wurde die 
Funkfernschreibstelle des OKH in die Bunker bei Zossen verlegt, im Herbst 
wurde sie nach Freilassing in Oberbayern, in die angebliche ,Alpenfestung‘, 
ausgelagert. Es kamen kaum mehr als zwei Dutzend Maschinen zum Einsatz. 



Abb. 70. Siemens Schlüsselfernschreibmaschine T 43, mit Blattschreiber T typ37f 

14 Zahlen wie y/2, y/b, \/T7 sind ohnehin ungeeignet: Sie können zu leicht erraten werden. 

15 Vermutlich identisch mit der in BP THRASHER (Fuchshai) genannten Machine. 
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Das U.S. State Department begann 1944 für seine 
höchst geheimen Nachrichtenverbindungen SIGTOT 
zu gebrauchen, ein VERNAM-Kryptosystem der U.S. 

Army mit individuellen Einmal-Schlüsseln. Die Army 
benutzte auch M-134-A (SIGMYC), eine 5-Rotor- 
Chiffriermaschine, deren Rotoren durch einen indi¬ 
viduellen 5-Kanal-Lochstreifen bewegt wurden. Das 
VERNAM-System wurde im Januar 1943 durch ein 
Rotor-System M-228 (SIGCUM) ersetzt, das von 
Friedman entworfen worden war. Rowlett fand jedoch 
nach einigen Tagen eine ernste Schwäche des Systems, 
das daraufhin aus dem Verkehr gezogen bzw. im April 
1943 durch eine verbesserte Version ersetzt wurde. 

Nur eine Handvoll Nachkriegs-Kryptosysteme auf dem offenen Markt waren 
Einmal-Schlüssel-Systeme, darunter sind zu erwähnen Mi-544 von Standard 
Elektrik Lorenz in Deutschland und die Hagelin T-52 und T-55 der Crypto 
AG in Zug (Schweiz). Die Sowjets nannten ihre Einmal-Schlüssel-Maschine 
AGAT (,Achat 4 ). 

8.8.7 Problematisch ist auch, was der Begriff Einmal-Schlüssel praktisch 
bedeutet. Hüttenhain berichtet, daß im Auswärtigen Amt nach den Sicher- 
heitsVorschriften von jedem Blatt nur das Original und eine Kopie existieren 
sollte. Tatsächlich wurden neun Kopien hergestellt und an fünf diplomatische 
Vertretungen gesandt. 

Mehrfachverwendung von Einmal-Schlüsseln erlaubte Cecil Phillips (1925- 
1998), Richard Hallock, Genevieve Feinstein und Lucille Campbell ab Herbst 
1943 erfolgreiche Angriffe auf das höchste sowjetische Chiffriersystem (“Veno- 
na breaks”). Dieser Bruch brach später Julius und Ethel Rosenberg das Ge¬ 
nick und enttarnte schließlich Harold Philby, Donald Maclean und Guy Bur¬ 
gess, Klaus Fuchs und Pierre Cot als Spione. 1946 wurden die Sowjets durch 
William Weisband und um 1949 durch Philby gewarnt, was sie möglicherweise 
veranlaßte, nach 1949 keine duplizierten Einmal-Schlüssel zu gebrauchen. 
Eine klare Verletzung der Idee einer unbrechbaren Chiffrierung ist die Her¬ 
stellung von Schlüsselfolgen durch eine Maschine. Wenn dann ein Geheim- 
text-Geheimtext-Kompromiß vorkommt zwischen einem solchen System und 
einem, sagen wir einmal, System, das Additive periodisch verwendet und 
wenn das letztere, was nicht unmöglich ist, gebrochen wird, so hegt der angeb¬ 
lich zufällige Einmal-Schlüssel offen. Falls genügend solches Material anfällt, 
kann die Maschine, die die Schlüsselfolge herstellte, rekonstruiert werden. 
Dies geschah tatsächlich im Falle der deutschen diplomatischen Chiffre, die 
die Briten FLORADORA nannten (9.1.1): Der angeblich zufällige Einmal- 
Schlüssel zeigte eine Gesetzmäßigkeit: Erich Langlotz auf der deutschen Seite 
kannte Chaitins Doktrin noch nicht. Bletchley Park konnte sogar herausfin¬ 
den, welche Maschine involviert war — nach P. W. Filby berichtete ihm Nigel 
de Grey , ein Mr. Lorenz habe 1932 dem Foreign Office eine solche angeboten. 
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8.9 Schlüsselverwaltung 

8.9.1 Die einzelnen Zeichen eines Schlüssels dienen der Bildung oder Aus¬ 
wahl (2.6) von Chiffrierschritten in einem Chiffrierschrittsystem. Gleich¬ 
gültig, ob ein solches Chiffrierschrittsystem monoalphabetisch oder polyal¬ 
phabetisch ist: Wenn Unbrechbarkeit skrupulös verlangt wird, sollte ein sol¬ 
cher Chiffrierschritt nie ein zweites Mal verwendet werden. 

Im monoalphabetischen Fall muß eine dieser Forderung genügende Chiffrie¬ 
rung polygraphisch sein mit einer Breite, die groß genug ist, um eine ganze 
Nachricht überdecken zu können. Das wäre eine große praktische Erschwe¬ 
rung, und so wird man eher zu polyalphabetischen Chiffrierungen geringerer 
Breite, insbesondere zu monographischen, greifen. Überdies kann die skru¬ 
pulöse Forderung, keinen Chiffrierschritt ein zweites Mal zu verwenden, auf¬ 
geweicht werden zu der Forderung eines individuellen Einmal-Schlüssels (8.8), 
der eine völlige Unregelmäßigkeit der Folge von Chiffrierschritten zeigt, weil 
dies nach Kolmogorov und Chaitin bereits Unbrechbarkeit garantiert. 

Obschon bereits vor 1930 in den U.S.A., im Deutschen Reich und in der 
Sowjetunion und auch anderswo individuelle Einmal-Schlüssel für besondere 
Einsatzgebiete geschätzt wurden, veranlaßten ihre praktischen Nachteile doch 
dazu, sich weithin mit schwächerer Chiffriersicherheit zufrieden zu geben. 

8.9.2 Es kann nicht genügend betont werden, daß (s. 2.6.1) die Schlüssel¬ 
vereinbarung (engl, key negotiation ) zwischen zwei Partnern eine beson¬ 
dere Schwachstelle jedes kryptologischen Systems ist. Eine sichere Über¬ 
brückung einer oftmals großen Entfernung zwischen ihnen hängt (s. unten) 
an der Zuverlässigkeit der Boten, die zu überwachen selbst schwierig sein 
kann, und an ihrer Verfügbarkeit. 

Es hat deshalb in der Geschichte des Kryptologie nicht an Versuchen gefehlt, 
die Schlüsselvereinbarung selbst durch kryptologische Maßnahmen zu decken, 
möglicherweise auch durch Steganographie. 

Obschon es verführerisch nahe liegt, die chiffrierte Schlüsselvereinbarung 
für ein kryptologisches System in eben diesem System durchzuführen — ins¬ 
besondere, wenn man von der Unbrechbarkeit eines solchen felsenfest über¬ 
zeugt ist —, sollte doch gerade dies vermieden werden, da ein Einbruch in das 
der Schlüsselvereinbarung dienende Material zur Offenlegung des ganzen Sy¬ 
stems führen kann. Zumindest muß, wie es die deutsche Kriegsmarine durch 
Gebrauch von Bigrammtafeln später tat, die Schlüsselvereinbarung einer zu¬ 
sätzlichen Chiffrierung in einem andersartigen System unterworfen werden. 

Die Idee der chiffrierten Schlüsselvereinbarung durch einen Spruchschlüssel 
(engl, indicator , s. 19.3.1, 19.6), der die Anfangsstellung eines mechanischen 
Schlüsselerzeugers beinhaltet, war schon längere Zeit latent und wurde bei¬ 
spielsweise nicht nur für die kommerzielle ENIGMA von 1923 propagiert, 
sondern auch für die 3-Rotor-ENIGMA der Reichswehr und der Wehrmacht 
übernommen. Über die Schlüsselvereinbarung erfolgte denn auch prompt 
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der Einbruch, den (s. 19.6.2, 19.6.4) Marian Rejewski und die anderen jun¬ 
gen polnischen Mathematiker ab 1932 beim deutschen ENIGMA-Verkehr er¬ 
zielten. Dabei hatten die deutschen Stellen lediglich die Fähigkeiten ihrer 
Gegner stark unterschätzt und es (mit Ausnahme der Kriegsmarine) nicht 
für nötig gehalten, das Verfahren der Schlüsselvereinbarung mehr zu kompli¬ 
zieren — immerhin mit der Rechtfertigung, den Nachrichtenverkehr und die 
Leistungsfähigkeit der Chiffrierer nicht stärker als notwendig zu belasten. 

Aufwendigere Verfahren, eine solche angreifbare Schlüsselvereinbarung zu 
umgehen, sind denkbar, etwa unter Benutzung zweier Chiffrierungen 
X®, die vertauschbar sind: Xi^X^ x = X^X^ x — zum Beispiel zweier 
VIGENERE- oder VERNAM-Chiffrierungen. Dabei chiffriert der Sender den 
Klartext zunächst mit X^ 1 ) nach einem von ihm zufällig gewählten Schlüssel 
der Empfänger wendet auf das Chiffrat X^ 2 ) an mit einem von ihm 
zufällig gewählten Schlüssel k^ und sendet dieses neue Chiffrat zurück an 
den Sender. Dieser faßt es wegen der Vertauschbarkeit von X^ 1 ) und X( 2 ) als 
eine von ihm chiffrierte Nachricht auf, die er mit Hilfe seines Schlüssels k^ 
dechiffrieren kann. Das Dechiffrat sendet er an den Empfänger zurück , der 
seinerseits sie als eine von ihm chiffrierte Nachricht auffassen kann, die er mit 
Hilfe seines Schlüssels k^ dechiffriert und so den Klartext erhält. Nachteilig 
bei diesem Verfahren ist die Notwendigkeit der dreimaligen Übermittlung. 
Wenn die Nachricht nur kurz genug ist, könnte das toleriert werden. Die 
Methode wäre damit gut geeignet für die Übertragung vitaler Information, 
etwa von Passwörtern oder eines Schlüssels, der nachfolgend für ein anderes 
Chiffrierverfahren benutzt werden soll. Da jedoch weder Klartext noch einer 
der Schlüssel offen übertragen werden, scheint das Verfahren sicher zu sein. 

Jedoch lauert schon der Reinfall, wie folgendes einfache Beispiel mit zwei 
VIGENERE-Chiffrierungen über Z 26 zeigt: 

Sender A wählt Schlüssel A Q S I D, der dem Empfänger nicht bekannt ist. 
Empfänger B wählt Schlüssel P Z H A F, der dem Sender nicht bekannt ist. 


Der Klartext /image/ wird vom Sender 
mit A Q S I D chiffriert: 

I C S O H wird dem Empfänger gesandt, 
der es mit P Z H A F chiffriert: 

X B Z O M wird dem Sender zurückgesandt, 
der es mit Hilfe von A Q S I D dechiffriert: 

X L H G J wird schließlich dem Empfänger zurückgesandt, 
der es mit Hilfe von P Z H A F dechiffriert: 
und damit die Nachricht /image/ erhält. 


i m a g e 
PAQSI D 

I C S O H 
I C S O H 
+ P ZHAF 
X B Z O M 
X B Z O M 

- AQS I D 

X L H G J 

X L H G J 
-P ZHAF 
i m a g e 
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Auf der offenen Übertragungsstrecke befinden sich 
X B Z O M und I C S O H, deren Differenz jedoch 
den Schlüssel von B exponiert: 

(ebenso exponieren X B Z O M und X L H G J den von A). 

Damit wird aber auch durch Dechiffrieren von XLHG J 
mit Hilfe dieses Schlüssels P Z H A F 
der Klartext /image/ bloßgestellt: 


X B Z O M 
- I C S O H 
P ZHAF 


X L H G J 
- P ZHAF 
i m a g e 


Der Grund für die Einbruchsmöglichkeit liegt darin, daß die Schlüssel bezüg¬ 
lich der Zusammensetzung von Chiffrierungen eine Gruppe bilden (s. 9.1) und 
noch dazu eine für das Chiffrierverfahren typische — die zyklische Gruppe der 
Ordnung 26. Die Chiffrierschritte können als bekannt vorausgesetzt werden. 

Eine Sicherung gegen den Einbruch besteht nur, wenn mindestens einer der 
beiden Dechiffriervorgänge so erschwert wird, daß er für den Unbefugten 
praktisch nicht durchführbar wird. Das bedeutet etwa, ein Chiffrierverfahren 
zu suchen, bei dem aus der Kenntnis des Schlüssels für die Chiffrierung mit 
vertretbarem Aufwand nicht der Schlüssel für die Dechiffrierung erzielt wer¬ 
den kann. Wie erst Ende 1997 von der Communication-Electronics Security 
Group des britischen Government Communications Headquarters (G.C.H.Q.) 
offengelegt wurde, stellte eine solche Überlegung 1970 James H. Ellis an, und 
der in der Zahlentheorie bewanderte Clifford Cocks fand 1973 in der Multi¬ 
plikation von hinreichend großen Primzahlen die gesuchte praktisch unum¬ 
kehrbare Operation. Dann aber kann der Empfänger B sogar öffentlich einen 
Schlüssel bekanntgeben, mit dem Nachrichten chiffriert werden sollen, die B 
dechiffrieren kann, und der erste und zweite Schritt des Verfahrens erledigt 
sich. Es ergibt sich also fast von selbst die Idee eines asymmetrischen Chif¬ 
frierverfahrens, die 1976 erstmals publiziert wurde von Whitßeld Diffie und 
Martin E. Hellman — s. 10.1.2 . Die Briten waren gezwungen, Stillschweigen 
zu bewahren und mußten mit ansehen, wie ihre Entdeckungen drei Jahre 
später nochmals gemacht wurden. James H. Ellis starb im November 1997. 


8 . 9.3 Sobald ein Nachrichtennetz eine große Anzahl von Knoten und 
Verbindungen einschließt, muß die gedeckte Schlüsselvereinbarung zu einer 
Schlüsselverwaltung (engl, key administration, key management ) ausge¬ 
baut werden. Die sichere Verteilung von Schlüsseln ist das überragende Pro¬ 
blem. Es muß verhindert werden, daß Schlüsselunterlagen auf Transportwe¬ 
gen abgefangen werden können — dazu dient klassischerweise die Übermitt¬ 
lung durch Kuriere (von Diplomaten und Militärs bevorzugt) oder, weniger 
anspruchsvoll, durch eingeschriebenen Brief (vormals für den privaten Ge¬ 
brauch oft bevorzugt). Telefon und Telegraf bieten nur zweifelhafte Sicher¬ 
heit und sind für große Nachrichtenströme sowohl zu langsam wie zu teuer. 
Offene Systeme wie Internet fallen unter Sicherheitsaspekten völlig aus. Zu ei¬ 
nem guten modernen Kryptosystem gehören eingriffsresistente (engl, tamper- 
proof) Schlüsselträger ebenso wie Notfall-Löschungsvorkehrungen. Die Qua¬ 
litätskontrolle ist bei einem Schlüsselverwaltungssystem ein Gebot. 
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Ferner bietet die sichere Registrierung und Zuteilung von Schlüsseln ein Pro¬ 
blem, dem man mit einem speziellen Benennungssystem steganographisch 
beizukommen versucht. 

Häufig führt man, meist mit praktischen Gründen motiviert, Schlüsselhierar¬ 
chien mit verschiedenen Sicherheitsebenen ein, etwa für eine Chiffriermaschi¬ 
ne mit einem primären, in der Maschine erzeugten Schlüssel, deren Schlüssel¬ 
erzeuger in gegnerische Hände fallen kann, einen sekundären Schlüssel, der 
nur für einen relativ kurzen Spruch — sagen wir von einer Länge, die 250 Zei¬ 
chen nicht überschreitet gilt, dessen Übermittlung aber nicht sehr hoch 
gesichert sein muß, und einen hochgesicherten tertiären Schlüssel, der für 
längere Zeit — sagen wir einen Tag — gilt. 16 Dafür bietet sich nach dem der¬ 
zeitigen Stand beispielsweise Chiffrierung mit einem Verfahren an, das auf der 
Widerspenstigkeit (‘ intractability ’) der Berechnung des diskreten Logarith¬ 
mus (10.2.4.2) beruht. Der mit einer Schlüssellänge von 1024 Bit arbeitende 
Key Exchange Algorithm (KEA) der N.S.A. wurde im Juni 1998 vom U.S. 
Department of Defense freigegeben. 

Solche hierarchischen Systeme machen die Schlüsselverwaltung noch kom¬ 
plexer. Überdies enthalten sie das Risiko des gestuften Angriffswegs: Auf¬ 
deckung des Schlüsselerzeugers, Aufdeckung des sekundären Schlüssels, Auf¬ 
deckung des gesamten Kryptosystems. Besonders gefährlich ist es, wenn die 
Vereinbarung über den sekundären Schlüssel mit der Chiffriermaschine selbst 
chiffriert wird: Ein einmaliger Einbruch kann dann zu einem fortgesetzten 
Einbruch führen. Der Indikator sollte wenigstens durch ein unabhängiges 
Chiffrierverfahren gedeckt sein. 

Alle Maximen der Schlüsselverwaltung gelten auch für individuelle Einmal- 
Schlüssel, für die aber auf grund von Chaitins Definition gilt, daß der Schlüs¬ 
sel mindestens so lang ist wie die Nachricht. Durch diesen hohen Schlüs¬ 
selverbrauch verbietet sich ihr Einsatz in vielen praktischen Fällen, sie wur¬ 
den mehr und mehr durch quasi-nichtperiodische (Pseudo-Zufalls-)Schlüssel 
mit bestätigter Qualität verdrängt, insbesondere durch Schlüssel, deren über¬ 
aus lange Periode garantiert werden kann und die hinreichend viele statisti¬ 
sche Tests bestanden haben. Häufig werden dabei umfängliche zahlentheo¬ 
retische Untersuchungen erforderlich. Jedoch könnte der Fortschritt in den 
Speichertechnologien manche Nachteile, die die Verbreitung von individuellen 
Einmal-Schlüsseln in großen Massen mit sich bringt, mildern. Leicht gewich¬ 
tige Speicherscheiben (CD-ROM) mit einer Dichte von einigen Gigabytes 
per Dekagramm geben individuellen Einmal-Schlüsseln eine neue Chance, in 
hochgesicherten diplomatischen, strategischen und kommerziellen Nachrich¬ 
tenwegen mit garantierter absoluter Unbrechbarkeit eingesetzt zu werden. 

16 Für das Beispiel der Wehrmachts-ENIGMA nach der vom 8. Juli 1937 bis 15. September 
1938 gültigen Vorschrift: Als sekundärer Schlüssel diente ein ,Spruchschlüsser, ein Indi¬ 
kator zur Anfangseinstellung der Rotoren für den einzelnen Spruch; als tertiärer Schlüssel 
diente ein ,Tagesschlüsser, der (Abb. 51) Walzenlage, Ringstellung, Grundstellung und 
Steckerverbindungen enthielt. Das primäre und das sekundäre Chiffriersystem waren 
jedoch identisch, der tertiäre Schlüssel wurde durch Kurier übermittelt. 
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Es sei zunächst daran erinnert, daß eine Chiffrierung X : V * — W* 
gewöhnlich endlich erzeugt wird durch Chiffrierschritte aus einem Chiffrier- 
schritt-System M . M* bezeichnet die Menge aller Chiffrierungen, die auf 
diese Weise durch M erzeugt werden. Eine Chiffriermethode S ist eine 
Teilmenge von M*. M d bezeichnet die Teilmenge aller Chiffrierungen mit 
Schlüsselfolgen der Periode d, M°° die Teilmenge aller Chiffrierungen mit 
nicht-berechenbaren Schlüsselfolgen. 

Eine Komposition zweier Chiffrierschritt-Systeme durch Hintereinanderaus¬ 
führung ihrer Chiffrierungen verlangt, daß der Bildbereich der ersten im 
Argumentbereich der zweiten liegt. 

Der Laie neigt dazu, zu glauben, eine Komposition zweier Chiffrierschritt- 
Systeme biete der unbefugten Entzifferung mehr Widerstand als jedes der bei¬ 
den einzeln. Das kann so, muß aber nicht so sein. Das zweite Chiffrierschritt- 
System kann ja sogar die Wirkung des ersten teilweise oder ganz aufheben. 
So sei S eine einfache Substitution, die, wie üblich, durch einen Merkvers 
erzeugt wird, etwa dem folgenden (der von Bazeries stammen könnte): 

BASEDOWSCHE KRANKHEIT . 

Die Substitution lautet dann 

abcde f g hi j klmnopqr s tuvwxyz 
BASEDOWCHKRN I TFGJLMPQUVXYZ 

Zweimal angewandt ergibt sie 

abc defghi jklmno p qrstuvwxyz 
ABMDEFVSCRLTHPOWKNIGJQUXYZ 
wobei neun Buchstaben, darunter die häufigen Vokale e a o , invariant sind. 

9.1 Gruppeneigenschaft 

Einige Klassen endomorpher Chiffrierungen, bei denen V = W ist, haben 
die Eigenschaft, daß die Komposition zweier Chiffrierungen nicht aus der 
Verfahrensklasse hinausführt. Man sagt, eine solche Chiffrierung bildet eine 
Gruppe: Beispiele sind die Gruppe V 26 aller einfachen Permutationen über 
Z 26 : die Gruppe V 24 aller Transpositionen der Breite 24. 
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Für andere Chiffrierungen ist das nicht notwendigerweise so: Eine Menge 
von voll zyklischen einfachen Substitutionen bildet keine Gruppe, da die 
Gruppenidentität nicht voll zyklisch ist. Die Beispiele in 7.2.4 zeigen, daß die 
Menge der ALBERTI-Chiffrierschritte und die Menge der ROTOR-Chiffrier- 
schritte für gewisse Referenzalphabete keine Gruppe bilden. Die Komposi¬ 
tion solcher Schritte erhöht die kombinatorische Komplexität. Solche Kom¬ 
positionen werden in Chiffriermaschinen benutzt. Die ENIGMA und ihre 
Verwandten benutzten eine Komposition von ROTOR-Chiffrierungen zur 
Vergrößerung der kombinatorische Komplexität. Klassen von Chiffrierungen, 
die keine Gruppen sind, sind also in einem gewissen Sinn vorteilhaft. 

9 . 1.1 Bildet jedoch ein Chiffrierschritt-System eine Gruppe, so ist die Menge 
der Chiffrierschritte gegen Zusammensetzung abgeschlossen: Die Zusam¬ 
mensetzung zweier Chiffrierschritte E M , Xt £ M gehört wieder der 
Menge M an: Xs{Xt{p)) = Xs*t{p) , wodurch s • t eindeutig definiert ist. 
Die Schlüssel bilden also eine Gruppe, die Schlüsselgruppe (engl, key 
space). Eine Chiffrierung mit einer Schlüsselgruppe hat Shannon c pure ci- 
phed genannt. 

9 . 1.2 Auch eine Chiffriermethode kann eine Gruppe sein im Hinblick auf die 
Komposition ihrer Chiffrierungen: die Gruppe aller linearen Substitutionen 
mit einer gewissen Breite n , die Gruppe aller polyalphabetischen (mono¬ 
graphischen) Substitutionen mit einer gewissen Periode d , die Gruppe aller 
Block-Transpositionen mit einer gewissen Breite n . 

Die Komposition zweier Chiffriermethoden führt jedoch im allgemeinen zu 
einer neuen, obschon meist verwandten Chiffriermethode: Die Komposition 
zweier linearer polyalphabetischer oder zweier allgemeiner polyalphabetischer 
Chiffriermethoden mit den jeweiligen Perioden d\ und c ?2 ist eine lineare 
bzw. allgemeine polyalphabetische Chiffrierung, mit der Periode kgv{d\ , e^) • 
Entsprechendes gilt für zwei Blocktranspositionen der Breite n\ und 712 . Für 
lineare Substitutionen wußte das schon Babbage 1854. 

Kompositionen von zwei oder mehreren gänzlich verschiedenen Chiffrierme¬ 
thoden („Produktchiffrierung“) kommen häufig vor. Manche solcher Kom¬ 
positionen sind vertauschbar, wie die Gruppe aller einfachen Substitutionen 
mit der Gruppe der Transpositionen der Breite n . In diesem Fall bildet die 
kombinierte Chiffriermethode wieder eine Gruppe ( Shannon: The product of 
two pure ciphers which commute is pure). 

9 . 1.3 Hierunter fällt die im SIEMENS Chiffrier-Fernschreiber (s. 8.7.3) über 
Z 2 vorliegende Komposition einer Pentagramm-Substitution (VERNAM- 
Chiffrierschritte angewandt auf 5-Bit-Codegruppen) mit einer 5-Bit-Code- 
gruppen-Transposition (Permutation der fünf Plätze), in gruppentheoreti¬ 
scher Sprechweise eine Untermenge der Hyperoktaedergruppe im Ä 5 , die von 
der Ordnung 2 5 * 5! = 3840 ist. Die SIEMENS Chiffrier-Fernschreiber beruh¬ 
ten auf einem deutschen Patent, das August Jipp und Ehrhard Rossberg am 
18. Juli 1930 eingereicht hatten. 



166 9 Komposition von Chiffrierverfahren 


Die Modelle T 52a und T 52b 1 wurden von der Kriegsmarine ab 1931 im 
Küstenverkehr für Drahtverbindungen benutzt. Das Modell T 52c wurde 
zuerst hauptsächlich von der Luftwaffe eingesetzt, ab Mitte 1941 allgemein 
von der Wehrmacht (,Geheimschreiber 6 ), britischer Deckname STURGEON 
(Stör). Von diesen und späteren Modellen wurden über die Jahre schätzungs¬ 
weise 1000 Stück gebaut. 

Zur Chiffrierung und Dechiffrierung wurden 10 Stiftwalzen w s benützt, die 
binäre Schalter (,'Umschalter 6 ) i s betätigten mit i s = 0 oder i s — 1, 5 = 1...10. 
Die ersten fünf der Stiftwalzen wi...w§ arbeiteten dabei mit VERNAM- 
Schritten auf die einzelnen Bits der Fünfergruppen des Fernschreibalphabets 
und bewirkten eine von 32 involutorischen Substitutionen, die anderen fünf 
Walzen vüq...w 10 erzielten eine von höchstens 32, tatsächlich von 30, im allge¬ 
meinen nicht-involutorischen Transpositionen der Bits der Fünfergruppe. Im 
Modell T 52a war das die Menge {(12)* 1 (23) i2 (34)* 3 (45)* 4 (51)* 5 : i 8 e{ 0,1}} , 
wegen (12)(23)(34)(45) - (54321), (23)(34)(45)(51) = (54321) und 
(23)(34)(45) = (5432), (12)(23)(34)(45)(51) = (5432) beträgt die Anzahl 
verschiedener Transpositionen nur 30 (ein Viertel der 5!=120 möglichen Per¬ 
mutationen) . Insgesamt erzeugten die 10 Stiftwalzen also 960 Alphabete, ein 
Viertel der 3840 Decktransformationen der Hyperoktaedergruppe. 

Im T 52c, der von Herbert Wüsteney (1899-1988) entwickelt wurde, konnte 
überdies ein ,Spruchschlüsser eingestellt werden. Beim T 52e traten infolge 
einer konstruktiven Änderung nur 16 verschiedene Substitutionen und 15 ver¬ 
schiedene Transpositionen auf; die Anzahl der in einem Spruch verwendeten 
Alphabete ging auf 240 zurück. Beim T 52c waren es lediglich 120 Alphabete. 

Die Stiftwalzen dienten auch zur Fortschaltung. Zu diesem Zwecke hatten 
sie der Reihe nach 47, 53, 59, 61, 64, 65, 67, 69, 71 und 73 Zähne, bei 
jedem Schritt wurden alle Walzen um einen Zahn bewegt, das ergab eine Art 
regulärer Fortschaltung mit einer Periode von 47-53-59-61-64-65-67-69-71-73 , 
d.h. knapp 10 18 . 

T 52d und T 52e (eingeführt 1943 und 1944) unterschieden sich von T 52a 
bzw. T 52c durch Hinzufügen einer besonderen Form unregelmäßiger „aus¬ 
setzender“ Fortschaltung und fakultativ einer ,Klartextfunktion 6 . Auf diesen 
Gedanken finßuence letter\ schwed. Pat. 52279, U.S. Patent 1502 376) war 
bereits in den frühen zwanziger Jahren Arvid Gerhard Damm gekommen. 

9 . 1.4 Kryptologisch einfacher ging man in den Chiffrier-Fernschreibern 
(,Schlüsselzusatz 6 ) SZ40, SZ42, SZ42a, britischer Deckname TUNNY (Thun¬ 
fisch) von LORENZ vor. Sie führten nur Substitutionen durch, die Chiffrie¬ 
rung war dementsprechend involutorisch. In der SZ 42 (Farbtafel N) wirkte 
eine erste Gruppe von fünf Stiftwalzen mit den Perioden 41, 31, 29, 26, 23 
(von den Briten y-wheels genannt) mit VERNAM-Schritten auf die Bits der 
Fünfergruppen; jede Walze dieser Walzengruppe wurde für jedes Zeichen um 
einen Schritt fortgeschaltet. Eine zweite Gruppe von fünf Stiftwalzen mit den 

1 Die T 52b unterschied sich von der T 52a nur durch eine verbesserte Funkentstörung. 
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Perioden 43, 47, 51, 53, 59 (von den Briten 'ip-wheels genannt) war der ersten 
Gruppe nachgeschaltet, wieder mit VERNAM-Schritten. Zwei weitere Wal¬ 
zen (von den Briten motor-wheels genannt) dienten nur der unregelmäßigen 
Fortschaltung: Eine mit der Periode 61, mit der ersten Walzengruppe bewegt, 
steuerte eine zweite mit der Periode 37; diese wiederum steuerte die gleichzei¬ 
tige Bewegung (eine Schwachstelle!) aller Walzen der zweiten Walzengruppe. 
Sämtliche Stiftwalzen konnten beliebig mit Stiften versehen werden; sie konn¬ 
ten überdies in jede Ausgangsstellung gebracht werden, erlaubten also die 
Einstellung eines Spruchschlüssels. Die Periode lag über 10 19 . 

9.1.5 Wenig ist bekannt über den Einsatz eines Chiffrier-Fernschreibers von 
OLIVETTI (Italienisches Patent 387482, 30. Januar 1941), der bloß fünf 
Chiffrierräder und zwei motor wheels hatte und nur eine schwache Irregula¬ 
rität der Fortschaltung aufwies. 

9.2 Uberchiffrierung 

9.2.1 Uberchiffrierung (engl, superencryption , closing, auch U.S. super- 
enciphering, U.K. reciphering, franz. surchiffrement) , im Jargon auch ,Uber¬ 
schlüsselung 1 genannt, ist ein häufiger Fall einer Produktchiffrierung: Ein 
Buchstaben-Code oder Ziffern-Code wird nochmals chiffriert. Im letzteren 
Fall wird gerne VIGENERE über Z 10 , d.h. mit N = 10 , benutzt. Solche 
Verfahren, die die Addition modulo 10 , also ohne Übertrag, bewerkstelli¬ 
gen, wurden im militärischen Bereich gelegentlich symbolische Addition 6 ge¬ 
nannt; sie sind auf einer verstümmelten Addiermaschine leicht durchführbar, 
vgl. 8.3.3. Bereits 1780 wurde von dem für England spionierenden Benedict 
Arnold die stellenweise Addition von 7, also eine gewöhnliche CAESAR- 
Addition, als Uberchiffrierung benutzt. Wird nicht stellenweise, sondern für 
Gruppen der Chiffrierbreite n eine Zahl modulo 10 n addiert (polygraphi¬ 
sche CAESAR-Addition), spricht man von einem Additiv (engl, additive ). 
Die Verwendung von Additiven wurde schon im 19. Jahrhundert in Verbin¬ 
dung mit dem Erscheinen von Codebüchern bekannt. Zur Erleichterung der 
Berechnung werden manchmal törichterweise spezielle Additive benutzt, wie 
02000. Dies ist auch noch zu beanstanden in folgendem besonderen Fall von 
doppelter Uberchiffrierung: Codebücher, die sowohl Buchstabengruppen 
wie Zifferngruppen enthalten, erlauben eine an die Addition anschließende 
Uberchiffrierung der Zahlengruppen durch korrespondierende Buchstaben¬ 
gruppen. J. N. H. Patrick wurde überführt, 1876 in einer Bestechungsaffäre 
im U.S. Congress ein solches System benutzt zu haben. Die U.S. Navy verwen¬ 
dete das System im Spanisch-Amerikanischen Krieg 1898; man betrachtete es 
zu dieser Zeit als das sicherste und fortgeschrittenste System, vorausgesetzt 
die Additive waren nichttrivial und wurden in kurzen Intervallen gewechselt. 

Das Auswärtige Amt des Deutschen Reiches benützte seit 1919 eine dop¬ 
pelte Uberchiffrierung eines fünfziffrigen Codebuches („Deutsches Satzbuch“, 
DES AB). Dazu wurden zwei über sechs Fünfergruppen gehende Additive 
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verwendet. 5000 solcher Additive und ihre jeweiligen Komplemente waren 
verfügbar. Die Briten versuchten lange Zeit vergeblich einen Einbruch in 
das System, dem sie die Decknamen GEC oder FLORADORA gaben. Im 
Mai 1940 erbeuteten sie jedoch im Deutschen Konsulat Reykjavik auf Island 
Chiffrierunterlagen, darunter zwei Codebücher No. 22, No. 46 und zehn Addi¬ 
tive. Das reichte zunächst nur aus zu kleinen Fortschritten durch Probieren 
auf stereotype Wendungen. Als jedoch 1942 dem britischen Konsul in Lou- 
rengo Marques, der Hauptstadt des portugiesischen Mogambique, durch einen 
glücklichen Zufall die Additive für die nächsten zwei Monate in die Hände 
fielen, gelang Alastair G. Denniston, F. W. (‘Bill’) Filby und dem reaktivier¬ 
ten Ernst C. Fetterlein in Bletchley Park in Zusammenarbeit mit Solomon 
Kullback in Washington schließlich 1944 ein vollständiger Einbruch. 

Transposition mag ebenfalls zur Uberchiffrierung genutzt werden: F. J. Sitt- 
ler, einer der erfolgreichsten Codebuchfabrikanten, empfahl, die vier Ziffern 
seines Codes zu permutieren. Bei festgehaltener Permutation entsteht dabei 
(wie bei festgehaltenem Additiv) lediglich ein neuer Code, nicht sicherer als 
der alte. Wenn schon eine Transposition benutzt wird, sollte ihre Breite 
relativ prim zur Codelänge sein. 

9 . 2.2 Überchiffrierung ist insbesondere angezeigt für Angaben wie Da¬ 
ten, Uhrzeiten, Namen, Koordinaten usw., die besonders sicherheitsbedürftig 
sind. Auch polygraphische Substitutionsverfahren können genutzt werden, 
ein Beispiel lieferte die Überchiffrierung eines taktischen 3-Ziffern-Codes 
(,Schlüsselheft 4 , im 1. Weltkrieg ab März 1918 von der deutschen Truppe 
an der Westfront benutzt) mit einer bipartiten Bigrammsubstitution (4.1.2, 
Abb. 32 ,Geheimklappe 4 ). Ein weiteres Beispiel lieferte die ENIGMA-Über- 
chiffrierung codierter Netzkoordinaten (2.5.3) bei der deutschen Kriegsmarine 
im 2. Weltkrieg. 

9 . 2.3 Eine feste Überchiffrierung der ENIGMA-Chiffrierung durch eine Sub¬ 
stitution (3.2.4) brachte das Steckerbrett zustande. Die Substitution hätte 
nicht involutorisch sein müssen, eine beliebige Substitution hätte den invo- 
lutorischen Charakter der ENIGMA erhalten. Die gegen die Überchiffrierung 
durch das Steckerbrett unempfindlichen kryptanalytischen Methoden, die 
die Polen und die Briten anwendeten (Zygalski-Lochblätter, Turing-Bombe), 
wären allerdings auch bei einer beliebigen Substitution wirksam geblieben. 
Hingegen hätte Welchmans 4 diagonal board’ nichts mehr genützt. 

9 . 2.4 Ein elementarer Fall einer gründlichen Durchmischung hegt vor bei 
dem von Leutnant Fritz Nebel (1891-1967) erfundenen ADFGVX-System des 
kaiserlichen Heeres von 1918 vor, einer 6x6-Polybius-Substitution (3.3.1) in 
das Alphabet {A, D, F, G, V, X} (vgl. 2.5.2) von Morsezeichen, gefolgt von 
einer Transposition der Breite 20. Das Verfahren wurde 1918 unter Luden¬ 
dorff an der Westfront eingesetzt. Bei täglich wechselndem Schlüssel kostete 
es den französischen Kryptologen Painvin oft mehrere Tage, bestenfalls je¬ 
doch nur einen Tag, bis er den Funkspruch entziffert hatte. 
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9.2.5 Im ENIGMA-Funkverkehr der Kriegsmarine wurden Nachrichten von 
besonderer Tragweite nochmals in besonderer Weise über chiffriert, kennt¬ 
lich gemacht durch die Kenngruppe (engl, discriminant) OFFIZIER. Grund 
dafür war auch die Abschirmung vor der Mannschaft. Am späten Abend des 
20. Juli 1944 ging ein Rundspruch an die Schiffe, den die Briten entzifferten: 

OKMMMANANALLEXXEINSATZJWALKUEREJNURDURCHOFFIZIERZUENTZIFFERN 
OFFIZIERJDORAJDERFUEHRERJADOLFHITLERJISTTOTXDERNEUEFUEHRERIS 
TFELDMARSCHALLJVONWITZLEBENJ . 

Walter Eytan [Ettinghausen ], Wachhabender in Bletchley Park, der nicht 
wissen konnte, wie makaber der falsche Teil der Nachricht war, hielt sie je¬ 
denfalls vor den dort arbeitenden Hilfskräften, den wrens (‘Women’s Royal 
Naval Section’) geheim — sicher ist sicher. 

9.3 Ähnlichkeit von Chiffrierverfahren 

Claude Shannon nennt zwei Verfahrensklassen T, S ähnlich, wenn es eine 
(vom Schlüssel unabhängige) eineindeutige Abbildung A des Bildbereichs 
von T e T in den Bildbereich von S G S gibt, derart daß 

VTgT 3SeS : S = AT , d.h. S(x) = AT(x) für alle x. 

Ähnliche Verfahrensklassen sind kryptanalytisch gleichwertig: Man darf 
annehmen, daß A bekannt ist ( Kerckhoffs ’ Maxime in der Fassung von Shan¬ 
non: u The enemy knows the System being used”). Jede Möglichkeit, T zu 
brechen, ist dann auch eine Möglichkeit, S zu brechen. Ähnlich sind: 

CAESAR-Verfahren und revertiertes CAESAR-Verfahren 
(A ist die Revertierung des Bild-Alphabets), 

VIGENERE-Verfahren und BEAUFORT-Verfahren 
(A ist die Revertierung des Bild-Alphabets), 
einfache Spaltentransposition und Blocktransposition 
(A ist die Matrix-Transposition). 

9.4 Durchmischung nach Shannon 

Nicht vertauschbar sind eine multipartite monographische Substitution und 
eine Transposition. Nicht vertauschbar ist auch die Komposition einer echt 
polygraphischen Substitution der Breite k mit einer Transposition der sel¬ 
ben Breite k . Nicht vertauschbar sind ferner VIGENERE-Schritte und ein¬ 
fache Substitutionen (zusammen ergeben sie die in 7.2.1 mit dem Stichwort 
ALBERTI-Schritte bezeichnete Familie) 2 . Die Komposition nicht-vertausch- 
barer Verfahren gibt eine gute Ausgangsbasis für eine gründliche Durch¬ 
mischung 6 , wie sie Shannon empfahl. Er verglich sie mit der Herstellung 


2 Eyraud bespricht auch die Komposition: einfache Substitution-VIGENERE-einfache 
Substitution, die er ^alphabets non-normalement paralleles» nennt (s. 8.2.3). 
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FOLD IT 




Abb. 71. Herstellung von Blätterteig 

(Aus: N. J. A. Sloane, Encrypting by Random Rotations. L. N. C. S. 149, S. 75) 


von Blätterteig durch wiederholte Anwendung von Ausrollen und Falten 
(Abb. 70), ein von Eberhard Hopf 3 studiertes Beispiel für Transformationen 
kompakter Räume. 

9 . 4.1 Gefühlsmäßig wird man eine Komposition besonders wirkungsvoll fin¬ 
den, wenn die kombinierten Verfahren nicht nur nicht kommutieren, sondern 
auch möglichst ,windschief zueinander liegen, wie Transposition, die nach 
Shannon eine ,Diffusion* bewirkt und lineare polygraphische Substitution, 
die eine ,Konfusion* bewirkt. Ist diese Komposition keine Gruppe, so sollte 
eine wiederholte Anwendung eine besonders gründliche Durchmischung 
herbeiführen. In diskreten Räumen ist jedoch jede Iteration einer festen 
Transformation schließlich periodisch und die Shannon-Hopfsche Durchmi¬ 
schung unterliegt der Gefahr einer Selbsttäuschung, wie das nachfolgende 
Beispiel (Abb. 72a und Abb. 72b) einer iterierten ,Bildtransformation* zeigt, 
die zunächst in überzeugender Weise für eine Durchmischung sorgt. 



Abb. 72a. Modulare Transformation 


3 


Eberhard Hopf , On Causality, Statistics and Probability, Journal of Math, and Physics 
13, 51-102, 1934. 
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Abb. 72b. FLBs Auferstehung 


Der Transformationsschritt besteht aus einer Spiegelung mit affiner Verzer¬ 
rung, gefolgt von einer Reduktion auf das Bildformat durch Abschneiden und 
Ankleben überstehender Ecken (Abb. 72a). Das Ergebnis sukzessiver Trans¬ 
formationsschritte zeigt Abb. 72b. Zunächst sieht es aus, als ob der abgebil¬ 
dete FLB durchmischt würde, aber nach 48 Schritten zeigt sich eine Textur 
und nach 192 Schritten tritt er schemenhaft 4-fach auf; nach 384 Schritten 
schließlich kommt gar das ursprüngliche Bild wieder. Eine Bildchiffrierung 
der angegebenen Art mit einer hohen Iterationszahl trägt also die Gefahr in 
sich, nichts zu verbergen. 
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9.4.2 Wie ist das Phänomen zu erklären? Wir betrachten das Quadrat 
Q : 0<£<1,0<?/<1 mit torusförmigem Zusammenhang und darauf 
die modulare Transformation (Abb. 73) 

( x' = y 

T : < , _ { x + y — 1 falls x + y > 1 

[ ^ \x + y falls 0 < x + y < 1 

<ß 

r 

Abb. 73. Modulare Transformation T 

Die lokale Affinverzerrung samt Spiegelung T wird durch die Matrix 
bewerkstelligt 4 , die schon in 8.6.1 aufgetreten ist. 






Abb. 74. Modulare Transformation T 2 


Abb. 74 zeigt die Wirkung von T 2 mit der durch die Matrix 
2 


0 1 
1 1 


1 1 
1 2 


bewirkten lokalen Affinverzerrung, Abb. 75 schließlich die von T 4 mit 

4 

/ V X \ / — I 11 \ 

+ 3- 


0 1 
1 1 


2 3 

3 5 


-1 0 
0 -1 


1 1 
1 2 


4 Es ist 


(0 lW _ / F n -\ F n \ 

Vi ly ~ \ F n f u+ i ) 


wo Fi die i-te Fibonaccizahl ist. Siehe auch 


Fn — 1 F n 

Fn F n -\-l 

F. L. Bauer, Efficient Solution of a Non-Monotonic Inverse Problem. In: W. H. J. Feijen 
et al. (eds.), Beauty is our Business. Springer, New York 1990, S. 19-26. 
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Abb. 75. Modulare Transformation T 4 


Hier tritt bereits das Phänomen auf, daß die Figur der vier Punkte 



um 180° gedreht wird. Entsprechend sind unter T 8 mit der Matrix 


( 


0 

1 



fl 3 21 \ 
V 21 34 J 



7 

11 


diese vier Punkte bereits Fixpunkte. Für T 16 mit der Matrix 


/0 1\ 16 _ /610 987 \ _ /1 0\ /29 47 \ 

\1 lj ~ V987 1597 J 1 J + \ 4 7 76 ) 

kommen weitere Fixpunkte hinzu, tatsächlich gilt 

(o lVV^ = {£) + f29i + 47k 

VI 1 J \£J {±J + {47i + 76k 

Es sind also alle 400 Punkte mit den Koordinaten ^ ^ (0 < i, k < 21) 

Fixpunkte. Zu T 48 gehört die Matrix 



( 


0 

1 



) + 46368- 


64079 103682 \ 

103 682 167761 ) ’ W ° bel 
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48 


46368 

k 


46368 

k 


/ Z -h iUOUOZ Ab \ / n . 7 Aaoc:o\ 

_ _ , M i n'mso ö j_ i C77C1 £. ) (0 < L k < 46368). 

46368 / v 46368 

Das ergibt 46367 2 = 199 2 • 233 2 ~ 2.15 • 10 9 Fixpunkte. Außerhalb dieser 
Punkte tritt jedoch eine starke Durchmischung ein. 

Wird allerdings durch Rasterung die Bildschwärzung beschränkt auf ein Git¬ 
ter, so ist die Wiederherstellung des Bildes nach hinreichend vielen Itera¬ 
tionen verständlich, wenn die Fixpunktmenge die Menge der Rasterpunkte 
umfaßt: Beachte daß 46368 = 2 5 • 3 2 • 7 • 23 . Somit 

0 1\ 48 5 ( 1 0 

i 4 mod2 = U i 

Das bedeutet, daß im Beispiel von Abb. 72 bei einem Raster von 32 x 32 Git¬ 
terpunkten nach 48 Schritten die Auferstehung geschehen müßte. Tatsächlich 
wurde die Rasterung mit 256 x 256 Gitterpunkten durchgeführt, somit 
\48 # ir/i ir/ . v /( vir/ ir/ ^ 

) mod 2 8 


mod 2 8 


■ 


2 971 215 073 
4 807 526 976 
2 


4 807 526 976 
7 778 742 049 


225 

64 


64 

33 


mod 2 8 = 


192 


mod 2 8 = 


384 


mod 2 8 = 


225 

64 

193 

128 

129 

0 


64 
33 

128 V 

65 ) 

° t 

129 } 


mod 2 8 = 


mod 2 8 


mod 2 8 = 


193 

128 

129 

0 

1 
0 


128 

65 

0 

129 

0 
1 


Daher das Resultat, das die Tabelle in 8.6.1 erweitert: r(T, 256) = 384. 

Das gewählte Beispiel einer Bildchiffrierung ließe sich natürlich auch auf 
Text Chiffrierung durch Transposition übertragen. 

9.4.3 Allgemein soll man nach Shannon Kompositionen S FT in Betracht 
ziehen, wo S und T vergleichsweise einfache Verfahrensklassen und F eine 
(feste) Transformation ist, die eine gründliche Durchmischung bringt. Im 
Beispiel der tomographischen Verfahren (4.2) wäre das die zwischengeschal¬ 
tete Transposition, im Beispiel der gemischten Zeilen-Spalten-Transposition 
(6.2.3) wäre es die zwischengeschaltete Matrix-Transposition. In modernen 
Anwendungen könnte es ein Chip sein, der eine Familie von 64 Bit breiten 
polygraphischen Substitutionen festlegt. Von ungezügeltem Zutrauen in die 
Wirksamkeit solcher ,Barrieren‘, wie Shannon sie nennt, muß jedoch gewarnt 
werden; es besteht immer die Gefahr einer complication illusoire. Im übrigen 
bringt die vollständige Durchmischung auch einen großen praktischen Nach¬ 
teil mit sich: Ein einzelner Chiffrierfehler kann, ja muß sich über die ganze 
entzifferte Nachricht ausbreiten (,Lawineneffekt 4 , s. 11.3 (5) ) und macht diese 
nicht nur lokal, sondern global unleserlich, mit allen Konsequenzen bei even¬ 
tueller Wiederholung (s. 11.1.1). Die Durchmischung des Blätterteigs ist in 
diesem Fall gefährlich gut. 
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9.4.4 Eine einfache, praktisch brauchbare und sehr starke Durchmischung 
bewirken die tomographischen Verfahren: Nach einer multipartiten Sub¬ 
stitution wirkt als Barriere eine spezielle Transposition; die Bestandteile wer¬ 
den ,zerschnitten‘ und anders zusammengefügt, zum Schluß wird eine multi¬ 
graphische Rücksubstitution vorgenommen. 

Die Idee scheint als erster Honore Gabriel Riqueti Comte de Mirabeau (1749- 
1791), frz. Publizist und Politiker, gehabt zu haben. Nach einer bipartiten, 
eineindeutigen Polybius-Substitution (vgl. 3.3.1) Z 25 —> Z 5 xZ 5 gruppier¬ 
te er zunächst alle ersten Ziffern, dann alle zweiten Ziffern zusammen und 
wandte die umgekehrte Polybius-Substitution Z 5 x Z 5 —> Z 25 an. Daran 
schloß sich vermutlich ein steganographisches Verfahren an Bazeries, der 
angibt, einige authentische Briefe der Marquise Sophie de Monnier an ihren 
berühmten Liebhaber entziffert zu haben, wobei er den Meneur pornographi- 
que » erwähnt, gibt keine weiteren Einzelheiten, stellt aber die Bemerkung in 
den Zusammenhang mit Boetzel und O’Keenan (vgl. 1.2). 

Mit der Hin- und Zurückchiffrierung Z 25 <—> Z 5 x Z 5 (Anarchistenchiffre) 
beschäftigte sich schon Lewis Carroll (Tagebuchnotiz vom 26. Februar 1858). 


9.4.5 Die Polybius-Substitution kommt in anderer Weise auch in den frühen 
Chiffriermaschinen B-21, B-211 von Boris Hagelin vor. Hagelin verwendete 
zwei Dammsche Halbrotoren mit zehn Stellungen, um für jede der beiden 
Z 5 zehn verschiedene Alphabete (zweimal fünf verschobene) zu erhalten; 
insgesamt wurden also damit 100 verschiedene Alphabete erzielt. Die Fort¬ 
schaltung geschah durch zwei mal zwei Schlüsselräder mit den Teilungen 17, 
19, 21 und 23. Die B-211 besaß zusätzlich ein Steckerfeld. 

Die von Alexis Koehl 1876 vorgeschlagene tomographische Methode beruhte 
nach Gylden auf einer multipartiten Substitution Z 25 —► Z 10 xZ 10 . 


9.4.6 Delastelle^ diskutierte auch eine tomographische Methode, die nach 
der Zerschneidung einer bipartiten Chiffre statt der von Mirabeau benutzten 
lokalen Umgruppierung eine allgemeinere anwendet, ferner Rückübersetzung 
mittels der gleichen oder einer konjugierten Chiffre. Für die Umgruppie¬ 
rung schlug er eine longueur de seriation vor, beispielsweise 7 in folgendem 
Beispiel mit der aus BORDEAUX (4.2.3) abgeleiteten Chiffre 


e n v o y e z 

14 5 15 15 
5 3 3 2 4 5 5 

14 51 51 55 33 24 55 
D S S Z I C Z 


unbat a i 

2 4 1 2 5 2 3 
2 3 112 13 

24 12 52 32 31 12 13 
CO T H G O R 


1 1 o n i n f 

4 4 1 4 3 4 2 
1 1 2 3 3 3 5 

44 14 34 21 12 33 35 
P D J A O I K 


a n t e r i e 

2451131 
1 3 2 5 3 3 5 

24 51 13 11 32 53 35 
C S R B H V K 


Delastelle war praktisch erfahren genug, um die longueur de seriation nicht 
zu groß zu wählen: Ein Chiffrierfehler wirkt sich sonst (s. 11.3) über die ganze 
Nachricht aus. Aber die Gefahr der unbefugten Entzifferung wächst. 


5 Felix Marie Delastelle , 1840-1902 . Verfasser des Traite Elementaire de Cryptographie , 
Gauthier-Villars, Paris 1902. 
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9 . 4.7 Delastelle diskutierte auch tomographische Verfahren auf der Basis 
einer tripartiten Substitution (vgl. 4.1.3). Andere tomographische Verfahren 
benutzen die ternäre Morse-Codierung, so ein POLLUX genanntes Ver¬ 
fahren und ein ,revertiertes Kulissenverfahren‘ von M. E. Ohaver , das im 
nachfolgenden Beispiel die Chiffrierbreite 7 hat: 

s e n d s u p 

Codelänge 3 

revertiert 4 

umgruppierte Zeichen 

H 

9.5 Durchmischung durch arithmetische Operationen 

Eine gründliche Durchmischung wird insbesondere durch arithmetische Ope¬ 
rationen herbeigeführt. Eine bei Mathematikern beliebte Methode, die neuer¬ 
dings wieder ausgegraben wurde (s. 10.3), ist die monoalphabetische Block¬ 
chiffrierung einer Nachricht als Zahl und anschließende Chiffrierung dieser 
Zahl durch arithmetische Operationen modulo einer geeigneten Zahl q , 
eventuell mit schließlicher Rückchiffrierung ^symbolische Addition^, symbo¬ 
lische Multiplikation^). 

Die stellenweise Addition liegt schon den linearen Transformationen zugrun¬ 
de, man kann aber auch die ganze Nachricht (nach Überführung in eine 
Zahl) zur Chiffrierung Operationen wie Addition eines Additivs, Multipli¬ 
kation mit einem regulären Faktor h (vgl. 5.7) oder r-fache Potenzierung 
— alles modulo q — unterwerfen. Dies sind Operationen, deren Inverse (zur 
berufenen Dechiffrierung) mit etwa dem gleichen Aufwand auskommen und 
in steigendem Maße Durchmischung bedeuten: die Multiplikation als iterierte 
Addition, die Potenzierung als iterierte Multiplikation. 

Bei gegebenem q kann damit eine Nachricht chiffriert werden, deren Zahl¬ 
äquivalent x der Bedingung 0 < x < q genügt. Die zugehörige Chif¬ 
frierung als Zahl kann beispielsweise durch landläufige Codebücher erfol¬ 
gen, wobei bereits eine Komprimierung eintritt, die bei stereotypen Texten 
beträchtlich sein kann: Bei Handelscodes kann man mindestens mit durch¬ 
schnittlich 8.5 Buchstaben Klartext pro Ziffern-Fünfergruppe rechnen. Die 
Methode eignet sich insbesondere zur Blockchiffrierung. 

Die Codierung als Zahl kann auch in einem Zahlsystem zur Basis B , B > \ V\ 
erfolgen — für V = Z 26 e t wa zur Basis 100 , also wesentlich dezimal (Z 10 ) mit 
Ziffernpaaren, oder zur Basis 32, also wesentlich binär wie im Fernschreib¬ 
code (Z 2 ) mit Fünf-Bit-Gruppen. 

Heute werden überwiegend Bytes (B = 256), 16-Bit-Gruppen (B = 2 16 ), 
32-Bit-Gruppen (B = 2 32 ) und 64-Bit-Gruppen ( B = 2 64 ) herangezogen. 


1 2 3 3 3 4 

3 3 3 2 1 3 

K S S A E G 
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9.5.1 Symbolische Multiplikation mit einem Faktor h modulo q : 

Mh(x) = x - h mod q. 

Ist q—p prim, so bildet die Multiplikation modulo p eine Gruppe, es gibt 
zu jedem 0 mod p ein Inverses h! so daß h • h! mod p— 1, und es ist 

Mh'(Mh(x)) = x (Multiplikation in F (p)). 

Ist q nicht prim, so hat h nur dann ein Inverses (ist regulär), wenn es zu 
q teilerfremd ist (vgl. 5.6). 

Aus technischen Gründen verwendet man häußg q von der Form q — 2 k oder 
q = 2 k — 1 , wenn die Berechnung im Dualsystem erfolgt; im Dezimalsystem 
entsprechend q — 10 k oder q — 10 k — 1. Im Falle q = 2 k bzw. q = 10 k 
fällt bei Rechnung mit der Wortlänge k das Ergebnis im hinteren Teil des 
(dualen bzw. dezimalen) Akkumulators an, vgl. 5.7. Im Falle q — 2 k haben 
nur die ungeraden Zahlen Inverse, im Falle q — 2 k — l sind nicht-prime q zu 
vermeiden, man ist auf Mersenne-Primzahlen beschränkt. 

Bei größeren Werten von q scheint die Bestimmung der Reziproken h f zu 
gegebenem h nicht mehr trivial zu sein. Der Divisionsalgorithmus durch 
sukzessive Subtraktion funktioniert jedoch auch für Zykelzahlen (5. Kapitel) 
und terminiert genau dann, wenn es einen Quotienten gibt. Ein Analogon 
zu dem schnellen Divisionsalgorithmus, den wir gewohnheitsmäßig für Z in 
einem Stellenwertsystem durchführen, existiert ebenfalls, vgl. 5.7. Er kann 
auch in der Form durchgeführt werden, die folgendes Beispiel zeigt: 

17 • h! = 1 mod 1 000 
-1 



220 ^ 

390 

560 > 5 
730 

900 J 

2600 1 

4300 >3 17 • 353 = 6001 = 1 mod 1000 . 

6000 J 

Es ist ein leichtes, einen Mikroprozessor entsprechend effizient zu program¬ 
mieren. Ist aber das Reziproke h! bestimmt, so erfordert die Dechiffrierung 
den gleichen Aufwand wie die Chiffrierung. 

Ist q etwa Produkt zweier (verschiedener) Primzahlen q — p\'P 2 , und ist 
h • h[ = 1 mod p\ und h • h’ 2 = 1 mod P 2 , so ist h • h! = 1 mod q , wo 
h f = mod p\ und h! = h f 2 mod P 2 . 

Die Restklassenarithmetik reduziert hier den Arbeitsaufwand zur Bestim¬ 
mung von h f beträchtlich. 
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9.5.2 Symbolische Potenzierung mit einem Exponenten k modulo q: 
P k (x) — x k mod q . 

Satz. Sei q—p eine Primzahl. Ist k' derart, daß k • k' = 1 mod p — 1 , 
so ist zu Pk{x) = x k mod p invers Pk'{x) = x k mod p, und es ist 

Pk'(Pk(x)) = x ( Potenzierung in F (p)). 


Beweis: Zunächst ist 

P k '(Pk(x)) = x k - k ' mod p = x k '( k ' mod (p-i) + «-(p-i)) mod p 

_ x kK mod (p-i) . x ka-(p- 1 ) m0( j p für geeignetes a 
= x 1 • ( x p ~ 1 mod p) ka 

Nach dem kleinen Fermatsehen Satz ist aber 
x v ~ x mod p— 1 , somit 

txi 

Pk'(Pk(x)) = X . 

Beispiele: Gegenseitig reziproke nichttriviale Paare (fc , k f ) können in 

5.5, Tabelle 1 gefunden werden, z.B. 

für p = 11 : (3,7) und (9,9) (AT = 10); 

für p = 23: (3,15), ( 5 , 9 ), (7,19), (13,17) und ( 21 , 21 ) (N = 22 ); 
für p = 31: (7,13), (17,23), (11,11), (19,19) und (29,29) (iV = 30). 

Fall p = 11: 

x 3 mod 11 hat die Zyklendarstellung (0) (1) (2 8 6 7) (3 5 4 9) (10) , 
x 9 mod 11 hat die Zyklendarstellung (0) (1) (2 6 ) (8 7) (3 4) (5 9) (10) . 

x mod 11 , rr 3 mod 11 , rr 9 mod 11 , and rr 7 mod 11 bilden die zyklische Gruppe 
C 4 der Ordnung 4. 

Fall p = 31: 

x 7 mod 31 hat die Zyklendarstellung A der Ordnung 4 
(0) (1) (5) (25) ( 9 10 20 18) (17 12 24 3) ( 2 4 16 8 ) 

( 6 ) (26) (14 19 7 28) (22 21 11 13) (15 23 29 27) (30) 

x 11 mod 31 hat die Zyklendarstellung B der Ordnung 2 

(0) (1) (5) (25) ( 9 14) (10 19) (17 22) (12 21) ( 2) (16) ( 4) ( 8 ) 

( 6 ) (26) (20 7) (18 28) (24 11) ( 3 13) (15) (29) (23) (27) (30) 

x 17 mod 31 hat die Zyklendarstellung AB der Ordnung 4 
(0) (1) (5) (25) (14 10 7 18) (22 12 11 3) ( 2 4 16 8 ) 

( 6 ) (26) ( 9 19 20 28) (17 21 24 13) (15 23 29 27) (30) 

x 19 mod 31 hat die Zyklendarstellung A 2 der Ordnung 2 

(0) (1) (5) (25) ( 9 20) (10 18) (17 24) (12 3) ( 2 16) ( 4 8 ) 

( 6 ) (26) (14 7) (19 28) (22 11) (21 13) (15 29) (23 27) (30) 
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x 29 mod 31 hat die Zyklendarstellung A 2 B der Ordnung 2 

(0) (1) (5) (25) ( 9 7) (10 28) (17 11) (12 13) ( 2 16) ( 4 8 ) 

( 6 ) (26) (14 20) (19 18) (22 24) (21 3) (15 29) (23 27) (30) 

x 7 mod 31 and x 29 mod 31 erzeugen die Gruppe C 4 x C 2 der Ordnung 8 . 

Fall p = 23: 

x 7 mod 23 hat die Zyklendarstellung 

(0) (1) (2 13 9 4 8 12 16 18 6 3) (5 17 20 21 10 14 19 15 11 7) (22) und 
erzeugt die zyklische Gruppe C\q der Ordnung 10 . 

Ist q ein Produkt zweier (verschiedener) Primzahlen, q = Pi • P 2 , so gilt 
ein leicht abgeänderter Satz (s. 10.3.1). 

Für eine ungerade Primzahl p bildet die Menge {Ph : h regulär bzgl. p — 1} 
eine Abelsche (kommutative) Gruppe M p - 1 , abhängig von p. Polyalphabe¬ 
tische Chiffrierung mit dieser Gruppe als Schlüsselgruppe ist möglich. Die 
Gruppe ist von der Ordnung — 1 , wenn prim ist. 

Eine ungerade Primzahl p derart daß p' = ebenfalls eine Primzahl ist, 
wird eine sichere (oder starke) Primzahl (Bob und G. R. Blakely 1978) 
genannt (p f wird dann auch als Sophie- Germain-Primzahl bezeichnet). 

Sichere Primzahlen sind 5 , 7, 11 , 23,47, 59 , 83, 107, 167, 179 , 227, 263, 
347, 359, 383, 467, 479, 503, 563, 587, 719, 839, 863, 887, 983, 1019, 
1187, 1283, 1307, 1319, 1367, 1439, 1487, ... ; es gibt auch große wie 
45-2 37 — 1 und IO 100 — 166517. Abgesehen von 5 und 7 sind alle sicheren 
Primzahlen von der Form 12a — 1. 

Ph(x) hat den trivialen Fixpunkt x = 0 und die zwei normalen Fixpunkte 
x = 1, x = p — 1, neben möglicherweise anderen. Die Potenzen Ph(x), 
P h '(x) können gebildet werden als Produkte wiederholter Quadrate; eine 
Binärdarstellung von k und k' zeigt, wie dies zu geschehen hat. 

Für p= 11, da 3 = LL und 7 = LLL ; 9 = LOOL : 

Ps(x) = x • x 2 , Pi(%) = x • x 2 • (x 2 ) 2 , Pg{x) = x • (( x 2 ) 2 ) 2 , 

wo . • . Multiplikation und 2 Quadrierung, beide modulo 11, anzeigt. 

In der Tat braucht für n-Bit-Primzahlen p mit 2 n < p < 2 n+1 die Poten¬ 
zierung modulo p ungefähr den gleichen Aufwand wie n Multiplikationen. 
Mit der gegenwärtigen Tendenz, Chiffrierschritte in Mikroprozessorchips zu 
verlagern, werden arithmetische Methoden zukünftig mehr und mehr Bedeu¬ 
tung erlangen. Speziell für Primzahlen der Form p = 2 2 +1 (Fermatsche 
Primzahlen) kommt man zum Problem reziproker Paare modulo 2 2 , wofür 
es spezielle Lösungen gibt. 

9.5.3 Wegen der Vertauschbarkeit von h und h' in 9.5.1 und 9.5.2 kann im 
wechselseitigen Verkehr zweier Partner A und B der eine h , der andere 
h! jeweils zum Chiffrieren und zum Dechiffrieren verwenden. Mittels einer 
Menge von Paaren (hi , hi) ist auch polyalphabetische Chiffrierung möglich 
(vgl. 2 . 6 . 2 ). 
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9.5,4 Vorläufer für diese arithmetischen Methoden ist Pliny Earle Chase , 
der 1859 im neugegründeten Mathematical Monthly folgendes Verfahren be¬ 
schrieb: Nach einer bipartiten Substitution V —> IV 2 mit W = Z io wird, 
wie bei Mirabeau , (vgl. 9.4.4) aus den jeweils ersten und den jeweils zweiten 
Ziffern eine Zahl x und eine Zahl y gebildet; nach einer einfachen arith¬ 
metischen Operation, wie etwa y mit Neun zu multiplizieren, wird in V 
zurückübersetzt. Dieses einfache System bot mehr Sicherheit als vieles, was 
zu dieser Zeit in Gebrauch war; es fand aber keine praktische Verwendung. 

9.6 DES und IDEA® 

DES (Data Encryption Standard) wurde 1977 vom National Bureau of Stan¬ 
dards (NBS) in den U.S.A. zur Verwendung für U unclassihed Computer data” 
genormt. 6 Das Verfahren liefert eine Blockchiffrierung für Byte-Oktogramme. 
Eine Folge von festen Transpositionen und von schlüsselabhängigen, multi- 
partiten, nichtlinearen Substitutionen sorgt für eine sehr gründliche Durch¬ 
mischung. DES ist ein tomographisches Verfahren, was man besonders gut 
am ursprünglichen Vorschlag LUCIFER von Horst Feistei (Abb. 76) sieht. 
Der Schlüssel ist 8 Byte lang, wovon noch die 8 Paritätsbits ,abzuziehen‘ sind, 
die auf Drängen von N.S.A. eingeführt wurden. Die effektive Schlüssellänge 
ist also 56 Bit. Die Patenschaft von Shannon (9.4) ist unverkennbar. 

9.6.1 Der DES-Algorithmus 

Wir skizzieren an dieser Stelle nur den Ablauf des Verfahrens. Für Einzel¬ 
heiten sei auf die erwähnte Publikation 8 verwiesen. 

9.6.1.1 Chiffrieren 

Der prinzipielle Ablauf eines DES-Chiffrierschrittes ist in Abb. 77 dargestellt: 
Der 8-Byte-Klartextblock wird zunächst einer (schlüsselunabhängigen) Ein¬ 
gangstransposition T unterworfen und anschließend in zwei 4-Byte-Blöcke 
Lo und i?o aüfgeteilt. Nun folgen 16 Runden (z = 1,2,3,..., 16) mit 

Li - i und Ri = L*_i ® f(R i - 1 ,K i ) , 

Das Zeichen ® steht für die Addition modulo 2. Ki ist ein 48-Bit-Schlüssel, 
der über eine Auswahlfunktion aus dem vorgegebenen Schlüssel erzeugt wird. 
Den Abschluß bildet die zu T inverse Ausgangstransposition T -1 . 

Die Funktion / bestimmt den zentralen Teil des Verfahrens (Abb. 78). Der 
32-Bit-Block Ri-i wird durch Duplizierung bestimmter Bitstellen zu einem 
48-Bit-Block E(Ri- 1 ) expandiert und modulo 2 zu Ki addiert. Das 


Data Encryption Standard (DES), National Bureau of Standards (U.S.), Federal Infor¬ 
mation Processing Standards Publication 46, National Technical Information Service, 
Springfield, VA, Apr. 1977. Federal Register, March 17, 1975 und August 1, 1975. Für 
die Darstellung von Hintergrundinformation (aus der Sicht von NBS) sei verwiesen auf: 
Smid, M. E.; Branstad, D. K .: The Data Encryption Standard: Past and Future, 
Proceedings of the IEEE, Vol. 76, No. 5, May 1988. 
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Ergebnis wird in acht 6-Bit-Gruppen aufgeteilt, die als Eingabe für jeweils 
einen der 8 Substitutionsmoduln Si , S 2 bis Sg (‘ S-boxes ’) dienen. Diese 
Moduln realisieren jeweils 4 verschiedene nichtlineare Substitutionen. In der 
folgenden Tabelle sind diese Substitutionen beispielsweise für Si dargestellt: 

0 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 

0 14 4 13 1 2 15 11 8 3 10 6 12 5 9 0 7 

Sf. 1 0 15 7 4 14 2 13 1 10 6 12 11 9 5 3 8 

2 4 1 14 8 13 6 2 11 15 12 9 7 3 10 5 0 

3 15 12 8 2 4 9 1 7 5 11 3 14 10 0 6 13 
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Bit 1 und 6 der jeweiligen Eingabe bestimmen als Dualzahl interpre¬ 
tiert die Zeile (und damit die Substitution), die Bits 2 bis 5 die Spalte. 
Die Eingabe 110010 (Zeile 2, Spalte 9 in der Tabelle) führt beim Modul 
Si also zur Ausgabe der Bitfolge 1100. Die acht 4-Bit-Ausgabeblöcke 
der Substitutionsmoduln S± , S 2 bis S% werden konkateniert und einer 
abschließenden Transposition P (‘ P-box ’) unterworfen. 



Abb. 78. Die Funktion / 

Es bleibt noch die Frage nach der Herleitung der Teilschlüssel. Zunächst 
werden die Paritätsbits des vom Benutzer vorgegebenen Schlüssels entfernt, 
die verbleibenden 56 Bits werden nach einer festen Vorschrift permutiert 
und in zwei 28-Bit-Blöcke aufgeteilt. Diese Blöcke werden bei jeder Runde 
zyklisch um eine oder zwei Positionen — abhängig vom Rundenindex — nach 
links geschiftet. Aus beiden wird dann nach einem vorgegebenen Verfahren 
ein 48-Bit-Teilschlüssel (Ki) generiert. 

9.6.1.2 Dechiffrieren 

Für das Dechiffrieren wird der gleiche Algorithmus angewandt, wobei die Teil¬ 
schlüssel (Ki) jetzt aber in umgekehrter Reihenfolge zum Einsatz kommen. 
Zum Chiffrieren und Dechiffrieren dient also der gleiche Schlüssel, der Algo¬ 
rithmus ist im weiteren Sinn schlüsselsymmetrisch. Die einzelnen Runden 
des Chiffrierens können nämlich durch die involutorischen Abbildungen 
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hi : (R , L) i—> (Ä, L® /(i? , Ki)) (Verarbeiten) 

g : (i? , L) i—► (L , i?) (Vertauschen) 

beschrieben werden. Bei g ist die Involution offensichtlich, bei hi folgt sie 
aus der Beziehung 

L®f(R, Ki)®f(R, Ki) = L. 

Das Chiffrieren führt also insgesamt auf die Abbildung 

DES = T -1 O h\Q O g o /i 15 O g o ... o /i 2 o ^ o ^ o T 

(bei der letzten Runde wird nicht mehr vertauscht). Beim Dechiffrieren wird 
lediglich die Reihenfolge der Teilschlüssel umgekehrt: 

DES -1 = T~ l oh\ogoh2ogo ... o /i 15 o g o /i 16 o T 

Die Komposition von DES und DES~ 1 ergibt wegen der Involution der 
einzelnen Abbildungen die identische Abbildung. 

9 . 6.2 ,Lawinen‘-Effekt 

Man kann zeigen, daß bereits nach wenigen Runden jedes Bit des ,Zwischen- 
ergebnisses‘ von jedem Bit des Klartextblockes und jedem Bit des Schlüssels 
abhängt. Minimale Änderungen des Klartextblockes bzw. des Schlüssels be¬ 
wirken deshalb, daß sich etwa 50% der Bitpositionen des Chiffrats ändern 
(, Lawineneffekt ‘). 

9 . 6.3 Betriebsmodi von DES 

Sollen mehr als acht Byte chiffriert werden, so ist der Klartext in eine Folge 
von 8-Byte-Blöcken aufzuspalten. Der Klartext kann andererseits bei man¬ 
chen Anwendungen in der Regel auch weniger als acht Byte umfassen, wenn 
zum Beispiel die Information sequentiell anfällt und ohne Zeitverlust übertra¬ 
gen werden muß. Für beide Fälle sind unterschiedliche Betriebsweisen denk¬ 
bar, die sich in bezug auf Chiffriergeschwindigkeit und Fehlerfortpflanzung 
wesentlich unterscheiden können. Letztlich entscheidet die vorgesehene An¬ 
wendung über die Eignung der Alternativen. 

Das National Institute of Standards and Technology (N.I.S.T.), früher Na¬ 
tional Bureau of Standards (N.B.S.) hat in den U.S.A. vier verschiedene 
Betriebsweisen genormt — je zwei für die oben genannten grundsätzlichen 
Anwendungsfälle. 7 

Beim ECB-Modus ( Electronic Code Book ) werden die einzelnen 8-Byte- 
Blöcke unabhängig voneinander chiffriert. Gleiche Klartext blocke führen da¬ 
bei zu gleichen Geheimtextblöcken. Dieser Modus mit seinem streng mono¬ 
alphabetischen Einsatz von DES sollte nach Möglichkeit vermieden werden. 


7 DES Modes of Operation, National Bureau of Standards (U.S.), Federal Information 
Processing Standards Publication 81, National Technical Information Service, Spring- 
field, VA, Dec. 1980. 
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Beim CBC-Modus ( Cipher Block Chaining) werden die Blöcke miteinander 
verkettet. Ausgangspunkt ist ein (zwischen den Partnern zu vereinbarender) 
Initialisierungsblock Co ( session key). 

Die Chiffrierung der Klartextblöcke m\ , m 2 , ra 3 , ... führt zu folgenden 
Geheimtextblöcken c\ , C 2 , C 3 , ... mit 

ci = DES{m\ © c 0 ) C 2 = DES(m 2 © Ci) c 3 = DES(ms © C 2 ) 
Die Dechiffrierung erfolgt über 

rai = DES~ 1 (ci)^c 0 m 2 = DES~ 1 (c 2 )®ci ms = DES'~ 1 (c 3 )©c 2 

Die Chiffrierung ist jetzt zwar polyalphabetisch, aber mit einer sehr „regel¬ 
mäßigen“, an einen autokey erinnernden Auswahl der Alphabete. 

Neben diesen blockorientierten direkten Chiffrierungen ist noch normiert der 
CFB-Modus ( Cipher Feedback ), bei dem DES nicht direkt zur Chiffrierung, 
sondern nur zur Erzeugung von Pseudozufallszahlen verwendet wird, mit 
einer Wahlmöglichkeit zwischen 1-Bit-, 8 -Bit-, 16-Bit-, 32-Bit- und 64-Bit- 
Resultaten, mit der Variante OFB-Modus ( Output Feedback ) für 64-Bit- 
Resultate, die einen vom Klartext- und vom Geheimtextstrom unabhängigen 
Rückkopplungsmechanismus besitzt. Sie wird für Authentisierung benützt. 

9 . 6.4 Zur Sicherheit von DES 

Seit den ersten Veröffentlichungen des vorgesehenen und später auch reali¬ 
sierten Standards hat es um den DES-Algorithmus Diskussionen und Kritik 
gegeben. So wurde z. B. verschiedentlich die Anzahl der internen Runden mit 
16 als zu gering empfunden. Die Hauptangriffspunkte sind: 

• Die Design-Kriterien der S-Boxen wurden zunächst gar nicht, später nur 
sehr vage bekannt gegeben; schließlich wurden sie nach 1990 von Do¬ 
nald Coppersmith publiziert. Diese für die Sicherheit zentralen Bar¬ 
rieren könnten ,Falltüren‘ enthalten, die den Entwicklern von DES die 
(unbefugte) Invertierung zumindest wesentlich erleichtern. 

• Die Schlüssellänge ist mit acht Byte relativ klein. Nach ,Abzug‘ der 8 
Paritätsbits verbleiben gerade noch 56 frei verfügbare Binärstellen. Es 
sind also nur 2 56 verschiedene Schlüssel wählbar (beim ursprünglichen 
Entwurf LUCIFER — und dieser Vergleich ist sicher naheliegend — ist 
die Anzahl der Schlüssel mit 2 128 wesentlich größer). 

• Der Schlüssel wird jeweils für eine Verbindung gewählt und bleibt dann 
vergleichsweise sehr lange fest — dieser praktisch monoalphabetische 
Gebrauch von DES fordert den klassischen Angriff der Superimposition 
(s. 19.1) geradezu heraus. 

Andrerseits ist DES ein ziemlich schneller Chiffrieralgorithmus. Größere 
Schlüssellänge, mehr Runden und andere Sicherheitsmaßnahmen würden den 
Chip langsamer machen. Die weltweite Akzeptanz von DES als ein de facto 
Standard rechtfertigen einigermaßen den Entwurf. 
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Teilweise wurde diese Diskussion geführt vor einem Hintergrund tiefen Miß¬ 
trauens: Das N. I. S. T. wurde verdächtigt und sogar insgeheim beschuldigt, 
als verlängerter Arm der National Security Agency zu wirken, von der man 
annahm, daß sie ein Interesse habe, Chiffrierungen brechen zu können. Offi¬ 
zielle Verlautbarungen waren nicht geeignet, den Verdacht auszuräumen. 

Es sind zwar immer noch keine Falltüren (öffentlich) bekannt. Es gibt aber 
andererseits auch keinen Nachweis für deren Nichtexistenz. Es wurden auch 
einige überraschende Eigenschaften des DES-Algorithmus gefunden, wie etwa 
eine Symmetrie unter Komplementierung: Wenn sowohl Klartext wie Schlüs¬ 
sel komplementiert werden, ist der resultierende Geheimtext ebenfalls kom¬ 
plementiert. Es könnte andere, bisher unentdeckte Symmetrien geben. Ein 
Rest von Sorge bleibt deshalb nach wie vor erhalten. 

Jedenfalls ist zu hoffen, daß mit massiver Unterstützung durch übergroße 
Rechner DES gebrochen werden kann, wenn die Weltsicherheit es erfordert. 
Für private Initiativen sollte DES unangreifbar sein und ist es höchstwahr¬ 
scheinlich auch, wenn es diszipliniert gebraucht wird. 

Wer sich jedoch Sorgen um die Sicherheit von DES macht, sollte jedenfalls 
nicht den ECB-Modus verwenden, von dem seit langem abgeraten wird, der 
aber von unzuverlässigen Anbietern nach wie vor in den Handel gebracht 
wird. Er kann weiterhin versuchen, der geringen Schlüssellänge mit mehr¬ 
facher DES-Chiffrierung mittels voneinander unabhängiger Schlüssel zu be¬ 
gegnen. Es besteht jedoch die Gefahr einer complication illusoire. 

Eine obere Grenze für den Aufwand, der zum Brechen einer Chiffrierung not¬ 
wendig ist, gibt der “brüte force” Angriff. Man sollte daher im Auge behalten, 
daß DES für unbegrenzte Versuche durch jedermann für beliebig lange Zeit 
verfügbar ist. Eli Biham und Adi Shamir haben 1993 eine generell ge¬ 
gen Durchmischungsverfahren gerichtete Methode angegeben, die bestimmte 
kleine Abänderungen des Klartextes benützt (‘Differential Cryptanalysis 1 ). 
Es stellt sich heraus, daß dabei für DES der verbleibende “brüte force ” An¬ 
griff durchschnittlich „nur“ 2 47 Versuche (gegenüber 2 56 bei voller Exhaus- 
tion) erforderlich macht. Das ist zwar nur von theoretischem Interesse, aber 
doch verlockend. Donald Coppersmith hat dann aufgedeckt, daß bereits 1974 
beim Entwurf von DES bestmögliche Vorkehrungen gegen einen derartigen 
Angriff getroffen wurden. 

Für DES sind seit etwa 1980 spezielle Chips auf dem Markt. Damit lassen sich 
nach dem Stand der ersten Hälfte der 90er Jahre 10-20 Mbits/sec chiffrieren 
und dechiffrieren. Abb. 79 zeigt einen Chip aus der Anfangszeit (1979). 

Das DES-Verfahren hat sich (trotz Exportbeschränkungen) weltweit ohne 
Zwang durchgesetzt, indem es zum Marktführer wurde. Dies muß die Natio¬ 
nal Security Agency (N.S.A.) der U.S.A. mit Befriedigung erfüllen. Wie weit 
eventuellen Nachfolgern von DES solches gleichermaßen gelingen wird, bleibt 
abzuwarten. 
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Abb.79. DES-Chip (1979) 


9.6.5 Nachfolger für DES 

Frei exportierbar, weil unsicher, sind die 1993 auf den Markt gebrachten 40- 
Bit-Algorithmen RC2 und RC4 der Firma RSA Data Security, Inc. u If you 
get permission from the U.S. [for a license to export an encryption algorithm] 
that probably means it’s too easy to decryptA (Ralph Spencer Poore). Die 
zwischenzeitlich weitverbreitete Meinung ( Otto Horak, 1996: U DES is nearing 
the end ofits credibilitf ’), daß das 56-Bit-DES, das 1977 nur für eine Dekade 
gedacht war, bald abgelöst werden muß — schließlich fand in den 20 Jahren 
von 1977 bis 1997 eine Steigerung der maximalen Rechenleistung etwa um 
den Faktor 2 10 statt — wurde 1998 unterstützt durch gelungene brüte force- 
Einbrüche exhaustiver Art. Daraufhin zog im Januar 1999 das N.I.S.T. (Na¬ 
tional Institute of Standards and Technology) seine Unterstützung von DES 
zurück und empfahl im Februar 1999 als Ubergangslösung bis zu einer in 
einigen Jahren zu erwartenden Einführung eines neuen Advanced Encryption 
Standard (AES) ein ,TripleDES‘ (FIPS 46-3) mit 168 Bit, das allerdings die 
dreifache Zeit zur Chiffrierung oder Dechiffrierung braucht. 

Eine äußerliche Verbesserung gegenüber DES bringt der SKIPJACK-Algo¬ 
rithmus, der, ebenfalls schlüsselsymmetrisch, mit einem Schlüssel von 80 Bits 
in 32 Runden arbeitet. Würde man 1993 mit einem Spezialcomputer 8 für 
$100 000 zur Exhaustion der Schlüsselmenge von DES 3.5 h gebraucht ha¬ 
ben, so wäre diese Leistung mit gleichem Aufwand erst 2029 für SKIPJACK 
erreichbar; 1993 würde man mit diesen Mitteln noch 26.2 • 2 20 Jahre, 2005 
jedoch nur noch 6.55 • 2 10 Jahre und 2017 1.64 Jahre brauchen und dies 
für den rein exhaustiven ( brüte force ) Angriff; jeder standesbewußte Krypt- 
analytiker würde sich etwas einfallen lassen, um es schneller zu machen. 


nach M. J. Wiener, Efficient DES Key Search. CRYPTO ’93, Santa Barbara, CA, Aug. 
22-26, 1993. 
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SKIPJACK war jedoch aufgrund U.S.-amerikanischer Gesetze bis Juni 1998 
nur als eingriffsresistenter, von Mykotronx, Torrence, Calif., USA program¬ 
mierter Chip MYK-78 (im CLIPPER-System), mit einem Durchsatz bis 20 
MBits/sec und einem Preis von einigen zehn Dollar, und nicht als Software 
erhältlich. Damit war insbesondere seine Verwendbarkeit in Rechnernetzen 
sehr eingeschränkt, von handelspolitischen und anderen (die Grundrechte be¬ 
treffenden) Erwägungen ganz abgesehen. Die Rolle als de facto Standard, die 
DES hatte, dürfte SKIPJACK auch nach seiner Offenlegung nicht erreichen. 
Das gemeinhin liberalere Europa bindet sich nicht an das Vorgehen der U.S.- 
Regierung. Unter den verschiedenen freien Ansätzen zur Ablösung von DES 
ist vielleicht am aussichtsreichsten IDEA® ( International Data Encryption 
Algorithm ), von J. L. Massey und anderen seit 1990 entwickelt, patentiert 
und für die Schweizer Firma ASCOM TECH AG, Solothurn unter Marken¬ 
schutz stehend, der seit 1993 in CMOS-Technik als VLSI-Chip und als Soft¬ 
ware unbehindert erhältlich ist. Handelsbeschränkungen sind nicht bekannt. 
IDEA® mit einem Schlüsselraum von 128 Bits ist für das nächste Jahrzehnt 
einem U brute force” Angriff gewachsen — anderen Einbruchsmöglichkeiten 
ist der Algorithmus selbstverständlich ebenso ausgesetzt wie SKIPJACK und 
DES. — Alle diese Chiffrieralgorithmen arbeiten mit 8-Byte-Klartextblocken. 
Gelegentlich werden allerdings nicht alle vorhandenen Bits kryptologisch aus¬ 
genutzt. So stellte sich Anfang 1998 heraus, daß in einem weltweit zur Ab¬ 
sicherung des Zugangs zu GSM-Mobilfunk-Telefonen (Dl, D2, E-plus) ver¬ 
wendeten 64-Bit-Schlüssel die letzten zehn Bits ständig mit O besetzt waren. 
Ein brüte force- Angriff wird damit um den Faktor Tausend kürzer und reicht 
in den Stunden-bis-Tage-Bereich des Zeitaufwands. 

9 . 6.6 Kryptosysteme und Kryptochips 

Viel Aufsehen erregte ein Kryptosystem, das sich ab Mitte 1991 weltweit 
verbreitete, genannt PGP® fPretty Good Privacy\ scherzhaft auch L Pretty 
Good Piracy ’); ein Paket, das neben der Chiffrierung und Dechiffrierung 
(Algorithmen von IDEA®, neuerdings auch TripleDES und andere) auch 
Maßnahmen zur gesicherten Schlüsselvereinbarung und Signatur (Algorith¬ 
men von RSA, siehe 10.3, sowie Algorithmen von MD5 und SHA 9 ) enthält. 
PGP ist in erstaunlich kurzer Zeit ein de-facto-Standard für e-mail über das 
Internet geworden. PGP entwich seinem Schöpfer, Philip R. Zimmermann 
und schlüpfte damit durch die Maschen der Gesetze der U.S.A., sehr zum 
Mißvergnügen der N.S.A., begleitet von der Schadenfreude einer weltweiten 
Cypherpunks-Bewegung. Ob Zimmermann nach den U.S.-Gesetzen bestraft 
werden kann oder soll, war lange nicht klar. Im Januar 1996 stellte jedoch 
das F.B.I. seine Ermittlungen gegen ihn ein. Inzwischen wurde PGP Soft¬ 
ware auch in den U.S.A. für $ 100 verkauft und ist derzeit für persönliche 
nichtkommerzielle Verwendung kostenfrei erhältlich. 

9 MD5: “Message Digest 5” , ein Einweg-hash-Algorithmus zur Bildung von 128-Bit-Prüf- 
gruppen. SHA: “Secure Hash Algorithm” zur Bildung von 160-Bit-Prüfgruppen, siehe 
10.5. 
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Ohnehin können nationale Gesetze in einer Welt offener Grenzen nicht mehr 
viel Beachtung finden. Ein Beispiel gab im März 1998 Netscape mit der 
Freigabe ihres WWW Software Communicator “mozilla” im Quelltext. Um 
dem damaligen Exportverbot nach dem Kriegswaffengesetz der U.S.A. zu ent¬ 
sprechen, wurde der secure sockets layer (SSL), der sicheren Datenaustausch 
ermöglichen soll, ausgenommen. Binnen weniger Tage gab eine australische 
Quelle mit “cryptozilla” eine Version des Netscape Communicator heraus, 
die mit 128 Bit-Algorithmen zur Chiffrierung ausgestattet ist. Dies zeigt, 
warum die U.S. Regierung ein törichtes, den freien Welthandel schädigendes 
Gesetz nicht länger durchsetzen konnte. 

Eine kritische Schwachstelle ist weiterhin die Schlüsselvereinbarung. Diese 
Lektion haben schon die Polen die Deutschen gelehrt. Würde jemand die 
Schlüsselvereinbarung brechen, wäre der ganze Chiffrieralgorithmus wertlos. 

Mittlerweile werden Mikroprozessor-Chips immer leistungsfähiger. So arbei¬ 
tete schon ein 1996 von Digital Equipment Corporation auf den Markt ge¬ 
brachter 64-Bit-Prozessor-Chip Alpha-AXP (21164) mit einer Pulsfrequenz 
von 300 MHz, beinhaltete 9.3 Millionen Transistoren und verarbeitete 1.2* 10 9 
Befehle pro Sekunde. Er wurde ursprünglich in 0.5/i-Technologie hergestellt, 
d.h. die elektrischen Verbindungen hatten eine Breite von 0.0005 mm. Bis 
1999 wurde die Taktfrequenz erhöht; für den Nachfolger Alpha 212 64 auf 
rund 600 MHz unter Verwendung einer 0.35/i-Technologie. DEC hat für das 
Jahr 2000 Taktfrequenzen von über 1 GHz angekündigt und strebt eine 0.25 (i- 
und eine 0.18/i-Technologie an. 

Mikroprozessoren werden heute weithin verwendet, in Arbeits-, Tisch- und 
tragbaren Rechnern, und sind häufig in Nachrichtennetze eingebunden; umso 
mehr entsteht die Notwendigkeit, die übertragenen oder dem möglichen Zu¬ 
griff sonstwie ausgesetzten Daten kryptologisch zu sichern. Crypto AG, Zug 
(Schweiz) hat 1996 ein crypto board für einzeln aufgestellte oder in ein Netz 
integrierte desktop PCs und notebooks auf den Markt gebracht, das neben 
Benutzer-Identifikation und Zugangskontrolle die Chiffrierung von Daten auf 
hard disks und ßoppy disks , von directories und von flies mit einem Durch¬ 
satz von mindestens 38 Mbits/sec bereitstellt. Dieses crypto board hat seinen 
eigenen, eingriffsresistenten ( tamper-proof ) Schlüsselträger samt Kennwort- 
Speicher und arbeitet mit individuell erzeugten Pseudo-Zufalls-Schlüsseln in 
einem symmetrischen Blockchiffrierungs-Algorithmus. Die Schlüsselverwal¬ 
tung benutzt eine mehrstufige Schlüsselhierarchie. Master keys , data encryp- 
tion keys , ßle keys und disk keys haben eine Schlüsselmannigfaltigkeit von 
2 124 « 2.12 • 10 37 . Mit den Abmessungen 85 mm mal 54mm und nur 3.3 mm 
dick, ist das crypto board (Farbtafel P) extrem handlich. Nichtsdestowe¬ 
niger, wenn es ordentlich gebraucht wird, kann man erwarten, daß es den 
Anstrengungen eines Supercomputers für eine geraume Zeit standhält. 

,Harte‘ Kryptographie lohnt sich, sie gewinnt deshalb mehr und mehr an 
Boden. 
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Die bisher diskutierten polyalphabetischen Chiffrierverfahren benötigten 
Schlüssel für die Chiffrierung und Schlüssel für die Dechiffrierung. Chiffrier¬ 
schritt-Systeme mit involutorischen Chiffrierschritten benützen natürlicher¬ 
weise den selben Schlüssel für beides. Andernfalls gibt es zwei Möglichkeiten: 

(1) Es gibt nur einen Schlüssel, aber ein Schlüsselzeichen kann für die Chif¬ 
frierung eine andere Bedeutung haben als für die Dechiffrierung — kurz, ein 
Schlüssel, zwei Regeln. Dies ist für DES (9.6.1) der Fall. 

Wenn man Chiffriermaschinen benützt, erfordert das ein Umschalten des 
Mechanismus zwischen dem Chiffrier-Modus und dem Dechiffrier-Modus. 

(2) Es gibt sowohl einen Schlüssel für die Chiffrierung als einen Schlüssel für 
die für die Dechiffrierung — kurz, zwei Schlüssel, eine Regel. 

Wenn man Chiffriermaschinen benützt, ist kein Umschalten des Mechanismus 
erforderlich, aber die Verfügbarkeit zweier Schlüssel. Wenn man von Hand 
arbeitet, hat man den Vorteil, nur eine Vorschrift beherrschen zu müssen. 
Wenn man jedoch nur den Chiffrierschlüssel geliefert bekommt, erfordert die 
Gewinnung des Dechiffrierschlüssels extra Mühe — außer es handelt sich um 
eine echt involutorische Chiffrierung. 

Man kann das illustrieren am Beispiel des klassischen VIGENERE-Verfahrens 
mit der Chiffrierung E , 

E = {Xk 3 } : X kj (, x ) = x + kj mod N n . 

Fall (1) benutzt für die Dechiffrierung D 

D = {Xkh ■ Xk,(x) = x-kj mod N n , 

während Fall (2) dafür benutzt 

D = { Xk ■} '■ X-kj (x)=x + (- kj ) mod N n . 

Der Zusammenhang ist hier einfach genug, 

Xki = X [kj) -i wobei (kj)- 1 = -kj . 
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Entsprechend macht auch die Gewinnung des Dechiffrierschlüssels nur ge¬ 
ringe Mühe, und da dieser geheimzuhalten ist, ist auch der Chiffrierschlüssel 
geheimzuhalten. 

Wenn es aber ebensoviel Mühe machen würde, den Dechiffrierschlüssel ( kj ) _1 
aus dem Chiffrierschlüssel kj zu gewinnen, wie den Geheimtext auf irgend eine 
andere Weise zu brechen, könnte der Chiffrierschlüssel kj ruhigen Gewissens 
veröffentlicht werden. In diesem Fall hätten wir ein offenes Chiffrierver¬ 
fahren. Überraschenderweise existieren solche Chiffrierverfahren. 

Die Frage stellt sich: Bietet ein solches Chiffrierverfahren mit einem öffent¬ 
lichen Chiffrierschlüssel Vorteile? Und wenn so, warum taucht ein so einfa¬ 
cher Gedanke so spät — Mitte der siebziger Jahre in der Geschichte der 
Kryptologie auf? Eine vorweggenommene Antwort lautet, daß offene kom¬ 
merzielle Nachrichtennetze Eigenschaften haben, die in den klassischen Zwei- 
Partner-Situationen fehlten. In der Tat, Vorteile existieren im Falle eines 
Viel-Partner-Netzes, wie auch, wenn der Authentisierung gleiches Gewicht 
gegeben wird wie der Geheimhaltung oder gar größeres, wie es für moderne 
Verfahren zur Abwicklung finanzieller Transaktionen der Fall ist. 

10.1 Symmetrische und asymmetrische 
Chiffrierverfahren 

10.1.1 Symmetrische Verfahren (private key methods) 

Der Schlüssel, den zwei Partner vereinbart haben, bestimmt bei den sym¬ 
metrischen Chiffrierverfahren in einfacher Weise sowohl den Chiffrierschritt 
wie den Dechiffrierschritt. Die meisten bisher vorgestellten (vor dem Sieges¬ 
zug der Elektronik benutzten) Verfahren sind in diesem Sinne symmetrische 
Verfahren. Für eine zweiseitige Nachrichtenverbindung benötigt dabei, wenn 
der Chiffrierschritt \kj eineindeutig ist (2.6.2), jede Seite nur einen Chiffrier- 
und-Dechiffrier-Schlüssel, jede Seite aber einen anderen. 

Auch bei dem in 9.6 diskutierten DES, dem wohl bekanntesten Vertreter mo¬ 
derner Blockchiffrierung, unterscheiden sich Chiffrier- und Dechiffrierschritt 
beispielsweise nur in der Reihenfolge, in der die aus dem Schlüssel gene¬ 
rierten Teilchiffrierungen angewandt werden. Solche symmetrische Verfahren 
können heute durch sehr effiziente Algorithmen maschinell realisiert werden. 
Insbesondere durch Hardware-Lösungen in Form spezieller Chips waren 1995 
bereits Durchsatzraten von mehr als 20 Mbits/s erreichbar. 

Die Chiffriersicherheit beruht wesentlich auf der Geheimhaltung des Chif- 
frier-Schlüssels. Unter der Annahme, daß es für den Unbefugten selbst bei 
Kenntnis der Verfahrensklasse undurchführbar ist, diesen Schlüssel zu ge¬ 
winnen, ist es unter realen Bedingungen weithin noch üblich, der Echtheit 
der Botschaften und der Identität des jeweiligen Gegenübers zu vertrauen 
(siehe jedoch 10.5). Authentisierung wird nicht als Problem gesehen und gilt 
naiverweise als garantiert, sobald und soweit Sicherheit garantiert ist. 
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Zu diesen Vorzügen gesellen sich natürlich auch einige Nachteile, die anwen¬ 
dungsabhängig mehr oder weniger stark ins Gewicht fallen: 

(1) Es ist nicht möglich, Dritten gegenüber nachzuweisen, daß ein bestimm¬ 
ter Absender eine bestimmte Meldung geschickt hat. Diese fehlende 
rechtliche Sicherheit stellt insbesondere für die Übermittlung von Auf¬ 
trägen und für finanzielle Transaktionen ein deutliches Manko dar. 

(2) Die Schlüssel müssen vorher über einen hinreichend gesicherten Kanal 
vereinbart bzw. ausgetauscht werden. Eine spontane gesicherte Kommu¬ 
nikation ist nicht möglich. 

(3) Ein weiteres Problem kann in der Anzahl der benötigten Schlüssel liegen. 
Bei n Partnern in einem Netz, wobei jeder mit jedem gesichert Daten 
austauschen möchte, sind ( ™ ) = n • (n — l)/2 involutorische Schlüssel 
oder symmetrische Schlüsselpaare erforderlich. Bei n = 1000 ergibt 
dies immerhin bereits 499 500 Schlüssel. 

10.1.2 Asymmetrische Chiffrierverfahren (publickey methods) 

Stellt man die Symmetrie der Chiffrierung aber einmal in Frage, nimmt man 
insbesondere an, daß sowohl zum Chiffrieren wie zum Dechiffrieren ein eigener 
Schlüssel benutzt wird, so erkennt man sofort, daß selbstverständlich der zur 
Dechiffrierung erforderliche Schlüssel absolut geschützt werden muß, daß aber 
der zur Chiffrierung erforderliche Schlüssel dem Gegner sogar bekannt sein 
darf. Man spricht dann von einem asymmetrischen Chiffrierverfahren. 

Für eine zweiseitige Nachrichtenverbindung der Partner A und B unterschei¬ 
det man jetzt vier Schlüssel: den öffentlichen Schlüssel ( public key) von A, 
den B zur Chiffrierung benutzt, und den privaten Schlüssel ( private key) 
von A, den nur A kennt und den A zur Dechiffrierung benützt, wie auch 
den öffentlichen Schlüssel von B und den privaten von B. Aber A kann 
jetzt Nachrichten von vielen Partnern erhalten, die alle für ihre Chiffrierung 
seinen öffentlichen Schlüssel kennen. Für ein Netz von n Partnern benötigt 
man deshalb nur noch n asymmetrische Schlüsselpaare, im Gegensatz zu 
( 2 ) symmetrischen Schlüsselpaaren. 

Das Konzept der public key- Verfahren stammt von Whitfield Difhe und Mar¬ 
tin E. Hellman. 1 

10.1.3 Asymmetrische Chiffrier- und Signatur-Verfahren 

Wir betrachten nun folgende Situation: Der öffentliche Schlüssel KPi des 
z-ten Teilnehmers bestimmt in einfacher Weise die Chiffriermethode Ei , die 
ihn erreichbar macht und einem Verzeichnis ( directory) veröffentlicht wird, 
der private Schlüssel KCi die Dechiffriermethode Di , die tunlichst nur dem 
z-ten Teilnehmer und niemand sonst zugänglich ist. Genauer gesagt: Ei wie 
auch Di sollen effiziente Realisierungen besitzen, aber für alle Teilnehmer 
ist es praktisch undurchführbar, d.h. aus Zeit- und Speichergründen zum 
Mißerfolg verdammt, KCi aus KPi herzuleiten. 


1 New Directions in Cryptography, Trans. IEEE Inform. Theory, IT-22, 6 (1976), 644-654. 
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Die folgende Eigenschaft von Ei und Di 

0 ) Di (Ei (x)) = x, 

erlaubt ein der Geheimhaltung dienendes 

asymmetrisches Chiffrierverfahren. 

Die folgende zusätzliche Eigenschaft von Ei und Di 
(**) Ei (Di (x)) = x, 

erlaubt ein auch der Authentisierung dienendes 

asymmetrisches Chiffrier- und Signatur verfahren. 

Das asymmetrische Chiffrierverfahren arbeitet folgendermaßen: 

Wenn Partner A einen Klartext m chiffriert an B senden will, nimmt er 
aus dem öffentlichen Verzeichnis unter dem Eintrag B den Schlüssel KPß 
(der Eß fest legt), chiffriert m: 

(A) c = Eß(m) 

und sendet den Geheimtext c über das öffentliche Netz an B . 

B benützt seinen privaten Schlüssel KCß (der Dß festlegt), 
um den Klartext m wiederzugewinnen: 

(B) D b (c) = D B (E B (m )) = m (wegen (*) ) 

Das asymmetrische Chiffrier- und Signaturverfahren arbeitet wie folgt: 

Wenn Partner A einen Klartext m mit seiner Unterschrift “A” signiert an 
B senden will, chiffriert er erst m mit seinem privaten Schlüssel KC A (der 
Dj± festlegt), 

(Al) d = D A (m ), 

und fügt zu d seine Unterschrift “A” im Klartext hinzu. Sodann nimmt 
er aus dem öffentlichen Verzeichnis unter dem Eintrag B den Schlüssel KPß 
(der Eß festlegt) und chiffriert das Paar (“A”, d ): 

(A2) e = Eß{ t A\d) = Eß( u Ä\D A {m)) . 

A sendet den Geheimtext e über das öffentliche Netz an B . 

B benützt seinen privaten Schlüssel KCß (der Dß festlegt), 
um das Paar (“A” , d) wiederzugewinnen: 

(Bl) Dß(e) = Dß(Eß( u A v , d)) = (“A”,d) (wegen (*) ) . 

B erkennt aus “A” , daß A der Absender ist. B benützt jetzt den öffentlichen 
Schlüssel KP a von A (der E A festlegt), um aus d den Klartext m 
wiederzugewinnen: 

(B2) E A (d) = E A (D A (m)) = m (wegen (**) ) . 

Sofern B vernünftigen Text bekommt, kann er sicher sein, daß dieser von A 
stammt, da kein anderer Partner ihn mit D A chiffriert haben könnte. 
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10.1.4 Asymmetrische Chiffrierverfahren weisen zwar die in 10.1.1 genann¬ 
ten Nachteile der symmetrischen Verfahren nicht auf. Es ergeben sich aber 
andere Probleme (s. 10.2.3, 10.4 und 10.6). 

Moderne Varianten von Signaturverfahren unterwerfen den Klartext einem 
Einweg-hash-Algorithmus (siehe 10.5), signieren das Ergebnis und übertragen 
diese Signatur als Anhang. Sie sparen damit Zeit und vermeiden außerdem 
die Möglichkeit, den Klartext aus der Signatur zu rekonstruieren; allerdings 
kann das Zwischenschalten des hash- Algorithmus zu einer Schwachstelle der 
Authentisierung führen. 

10.2 Einweg-Funktionen 

KPi zu einem öffentlichen Schlüssel zu machen, erfordert, daß es praktisch 
undurchführbar ‘ (engl, intractable ) ist, Di = E~ x durch Funktionsumkeh¬ 
rung aus Ei zu erhalten (vgl. 8.9.2); daß also Ei eine ,Einweg-Funktion‘ ist. 

10.2.1 Echte Einweg-Funktionen 

Eine injektive Funktion 
f:X^Y 

heißt echte Einweg-Funktion (engl, one way function), falls folgendes gilt: 
Es gibt ein effizientes 2 Verfahren zur Berechnung von f(x) für alle xGl, 
Es gibt kein effizientes Verfahren zur Bestimmung von x aus der Beziehung 
y = f(x) für alle y e f[X ] . 

Arto Salomaa hat ein schlagendes Beispiel einer Einweg-Funktion gegeben. 
Eine Chiffrierung mit homophonen Chiffrierschritten Z 2 Q — Z\ 0 sei fol¬ 
gendermaßen definiert: Für einen Buchstaben X wird irgendein Name, der 
mit diesem Buchstaben beginnt, im Telefonbuch einer großen Stadt Y aufge¬ 
sucht; eine 7-ziffrige Telefonnummer, die unter diesem Namen aufgeführt ist, 
wird als Ergebnis des Chiffrierschritts gewählt. Um ein Beispiel zu geben: 
Die Chiffrierung von /kindergarten/ könnte in folgenden Chiffrierschritten 
ablaufen 


k 

Koch 

8202310 

i 

Ivanisevic 

b-v8119896 

n 

Nadler 

6926286 

d 

Dicklberger 

b-b5702035 

e 

h->- Esau 

b-y 8348578 

r 

Remy 

b-b7256575 

g 

Geith 

b^ 2730661 

a 

Aranyi-Gabor 

b-v2603760 

r 

Rexroth 

5328563 

t 

Tecins 

b-y6703008 

e 

h->- Eisenhauer 

b^ 7913174 

n 

Neunzig 

b-y3002123 

/kindergarten/ wird 

also chiffriert 

in eine 

; Folge von 12 sieben-ziffrigen 


Codegruppen 

8202310 8119896 6926286 5702035 8348578 7256575 2730661 2603760 
5328565 6703008 7913174 3002123 , 


2 


Effizient: Mit einem Rechenaufwand, der polynomial ist in log \X\ . Wenn P = NP gelten 
würde, existierte keine echte Einwegfunktion. 
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dazu braucht ein menschlicher Chiffrierer weniger als eine Minute Zeit. Die 
Dechiffrierung ist eindeutig, erfordert aber Stunden und Stunden, wenn sie 
lediglich mit Hilfe des Telefonbuches von ungefähr 2 000 Seiten geschehen 
soll. Eine Einweg-Funktion stellt bereits für einen befugten Entzifferer fast 
unüberwindliche Schwierigkeiten dar. 

Somit können echte Einweg-Funktion kaum zur Chiffrierung dienen. Einweg- 
Funktionen ohne Homophone können allerdings zur Identifikation und 
Authentisierung herangezogen werden: Zur Zugangskontrolle für Rechner 
wird ein Kennwort (,Paß wort 6 ) durch eine echte Einweg-Funktion chiffriert 
und in dieser Form im Rechner gespeichert. Wann immer Zugriff verlangt 
wird, wird das vorgezeigte Paßwort ebenfalls chiffriert und die Kryptogramme 
werden verglichen. Ein eventueller Einblick in die gespeicherte Datei ist nutz¬ 
los. Dieses Verfahren wird in dem weitverbreiteten Betriebssystem UNIX 3 
verwendet, gegründet jedoch auf eine Variante des DES-Algorithmus, der 
wohl nicht als echte Einweg-Funktion angesehen werden kann. 

Zurück zu Salomaas Beispiel: Es ist jedoch denkbar, daß der befugte Entzif¬ 
ferer ein inverses Telefonbuch besitzt, wie es heute mehr oder weniger legal 
erhältlich ist. Ein solches Buch macht die Dechiffrierung so einfach wie die 
Chiffrierung. Es wirkt wie eine Falltüre, eine Geheimtüre, die in einer Rich¬ 
tung offensichtlich, in der anderen jedoch getarnt ist: Sie zu finden und zu 
öffnen kostet viel Zeit, außer man kennt die Lage des auslösenden Knopfes. 

10.2.2 Einweg-Funktionen mit Falltüre 

Zum Zwecke der Datensicherheit, die wesentlich kryptologischer Natur ist, 
werden Einweg-Funktionen mit Falltüre gebraucht, die dem authorisierten 
Benutzer die Dechiffrierung erlauben. 

Eine injektive Funktion 

f:X^Y 

heißt Einweg-Funktion mit Falltüre (engl, trapdoor one way function ), 
falls folgendes gilt: 

Es gibt ein effizientes Verfahren zur Berechnung von f(x) für alle xGl, 
Es gibt ein effizientes Verfahren zur Berechnung von f~ x {y) 
für alle yef[X\ , aber für alle y G f[X ] kann f~ 1 (y) nicht effizient aus 
der Relation y = f(x) berechnet werden: Dazu ist zusätzliche Information 
über das Öffnen einer Falltüre notwendig. 

Die Falltüre in Salomaas Beispiel ist das inverse Telefonbuch. Es kann als ein¬ 
malige Investition vom Chiffrierer, der die Zeit dazu aufbringt und es häufig 
genug zu gebrauchen gedenkt, legal hergestellt werden; der Speicherbedarf 
ist nicht größer als der für das originale Telefonbuch. Eine solche Art von 
Vorarbeit ist eine der besten Strategien zum Brechen asymmetrischer Chif¬ 
frierverfahren, da diese normalerweise für einige Zeit unverändert gebraucht 
werden. 


3 UNIX ist ein eingetragenes Warenzeichen. 
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10.2.3 Die Effizienzgrenze 

Die Funktionsumkehrung scheitert bei Einweg-Funktionen — seien sie echt 
oder mit Falltüren, die man nicht kennt — nur am erforderlichen Aufwand 
an Rechenzeit und Speicherplatz, an ihrer Zeit- und Speicherkomplexität. 
Die Grenze zwischen ‘effizient durchführbar’ und ‘praktisch undurchführbar’ 
verschiebt sich wegen des technologischen Fortschritts zwar laufend: Grob 
gerechnet ist zur Zeit alle zwei Jahre eine Verdopplung der Rechenleistung zu 
beobachten, alle 15 Monate eine Halbierung der Kosten pro Speicherbit. Die 
niedrigen Preise für die Hardware ermöglichen eine massive Parallelisierung, 
die bei dieser Art von Aufgaben auch voll zu nutzen wäre. Der Kryptologe 
kann aber durch eine entsprechende Erhöhung der Parameterwerte rechtzeitig 
,gegensteuern‘ und eine Funktionsumkehrung für absehbare Zeit praktisch 
undurchführbar machen. 

Ein Beispiel soll dies verdeutlichen: Bei einigen Verfahren läuft die Funktions¬ 
umkehrung einer Einweg-Funktion auf die Zerlegung einer Zahl n in ihre 
Primfaktoren hinaus. Das ‘Quadratic Sieve’ 4 , ein schneller Algorithmus mit 
,subexponentieller Komplexität‘, benötigt dazu einen Aufwand, der asympto¬ 
tisch von der Größenordnung 

n-ln(ln n) ^yÜn(ln n)/ Inn 

Operationen ist. Für n = IO 70 hat der Exponent ^/ln(Inn)/Inn ungefähr 
den Wert 0.178, entsprechend ist n \/ ln ( lnn )/ lnn = 2.69 • 10 12 . 

Zur Eichung mag dienen, daß 1984 auf einer CRAY X-MP die Faktorisierung 
von (10 71 —1)/9 9.5 Stunden dauerte; das ergibt rund 80- 10 6 ,Makro- 
Rechenschritte‘ pro Sekunde, und extrapoliert folgendes Bild (wobei alle 
zwei Jahre eine Verdopplung, alle zwanzig Jahre eine Vertausendfachung der 
maximalen Rechenleistung angenommen ist) 


n 

yfhÜi 

■Itl(li) n) 

Rechenzeit 1984 

Rechenzeit 1994 

Rechenzeit 2004 

1Ö 50 

IA2 

io lfl 

181 sec 

5.66 sec 

181 msec 

10 7(1 

2.69 

io 12 

9.5 h 

0.297 h 

34.2 sec 

lü'oo 

2.34 

IQ 15 

344 Tage 

10.75 Tage 

8.3 h 

IO 120 

1,31 

-10 17 

52.57 Jahre 

600 Tage 

19.3 Tage 

U) MD 

5.49 

■ U) IS 

2.2 ■ 10 3 Jahre 

68,75 Jahre 

803 Tage 

IQ 200 

1.20 

■ ICP 

4.8 ■ 10 T Jahre 

1,5* 10® Jahre 

4.8 • U) J Jahre 

IO 2 * 11 

1.12 

• 10 2 * 

4.4 • 10 12 Jahre 

U* 10 11 Jahre 

4.4 • 1() 9 Jahre 


Die Effizienzgrenze der jahrelangen 4 Arbeit verschiebt sich also von (1984) 
n = 10 loo = 2 332 über (1994) n = 10 120 = 2 399 auf (2004) n = IO 140 = 2 465 . 
Aufsehen erregte 1994 die geglückte Zerlegung einer 129-stelligen Zahl (mit 


4 Aufbauend auf frühe Arbeiten von M. Kraitchik, verbessert von C. Pomerance (1985), 
P. Montgomery (1987), R. D. Silverman (1987). Die schnellste Version dieses Algo¬ 
rithmus ist als ‘Double Large Prime Variation of the Multiple Polynomial Quadratic 
sieve’ (ppmpqs) bekannt. Weder sie noch die noch bessere ‘Number Field Sieve’ Methode 
(NSF) von John Pollard (1988), die asymptotisch eine Anzahl Schritte von der Ord¬ 
nung e0 nn ) / 3 -( ln (inn)) / 3 — n ( ln ( lnn )/ lnn ) 2 ^ 3 braucht, ist effizient im Sinne von 10.2.1. 
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429 Bits) in ihre beiden je 65-stelligen Primfaktoren. Nach der obigen Extra¬ 
polation wären dazu auf einem Höchstleistungsrechner 3330 Tage erforder¬ 
lich. Tatsächlich wurde die Gesamtarbeit auf 1600 über Internet verbundene, 
schwächere Computer verteilt und in 8 Monaten erledigt. 1999 wurde eine 
Zahl mit 465 Bits faktorisiert. Seit dem Jahr 2000 gibt es mit 512 Dualstellen 
keine Sicherheit mehr. 

Auch wenn hochgradig parallelisierte Spezialrechner den Rechenzeitbedarf 
weiterhin verringern werden, es gibt Grenzen, die mit den bekannten Ver¬ 
fahren aus physikalischen Gründen wohl nie überschritten werden können. 
Zum Beispiel würde ein 10 6O -Bit-Speicher mehr als die Masse unseres gesam¬ 
ten Sonnensystems benötigen, ebensowenig sind IO 70 Operationen realisier¬ 
bar, weil selbst bei einer der ,Elementarlänge 6 von 10 -15 m entsprechenden 
,Elementarzeit 6 von | • 10 -23 sec pro ,Makro-Rechenschritt 6 die dazu erfor¬ 
derliche Zeit die Lebensdauer des Sonnensystems bei weitem übersteigt. 

Aber diese großen Zahlen können trügerisch sein. Es gibt keinen Beweis 
dafür, daß kein wesentlich schnellerer Algorithmus als das Quadratic Sieve 
und vergleichbare existiert. Es könnte ja sein, daß die Primfaktorzerlegung 
von n in einer Zeitspanne getan werden kann, die nur polynomial mit n an¬ 
steigt. Aber es ist nicht sehr glaubhaft. Häufig findet sich der gefühlsmäßige 
Einwand, daß man für die Primfaktorzerlegung mehr als zweitausend Jahre 
Zeit hatte, um sich etwas einfallen zu lassen. 

Allgemein ist die Nichtexistenz von Falltüren anscheinend nur schwer be¬ 
weisbar. Und die Komplexitätstheorie in ihrem derzeitigen Zustand liefert 
meist nur obere Schranken für den Aufwand: u There are no provable lower 
bounds for the amount of work of a cryptanalyst analyzing a public-key 
cryptosystem ” (Salomaa 1990). Eine neue Falltüre wie auch ein schnellerer 
Algorithmus für die Funktionsumkehrung der Einweg-Funktion würde die Si¬ 
cherheit des Chiffrierverfahrens ebenso in Frage stellen wie ein direkter Ent¬ 
zifferungsangriff, der die Funktionsumkehrung vollständig umgeht. Hierin 
liegt prinzipiell eine große Gefahr für die asymmetrischen Verfahren. 

10.2.4 Bekannte Verfahren 

Man kann im übrigen schwer beweisen, daß es Einweg-Funktionen überhaupt 
gibt, da bei den bekannten Verfahren hinlänglich gute untere Schranken im 
strengen Sinn fehlen. Wir haben aber gute Kandidaten , die auf den folgenden 
beiden Operationen basieren: Multiplikation ganzer Zahlen und Exponentia- 
tion über dem endlichen Körper F(p), p prim. 

10.2.4.1 Einweg-Funktion ohne Falltür: Multiplikation von Primzahlen 

Es ist, wie Turing schon 1937 bemerkte (5.7), vergleichsweise einfach, zwei 
zehntausendstellige ganze Zahlen und damit auch eine Anzahl von Primzah¬ 
len solcher Länge miteinander zu multiplizieren; es ist aber - siehe oben - 
heute kein effizientes Verfahren (öffentlich) bekannt, eine 160-stellige Dezi¬ 
malzahl in ihre Primfaktoren zu zerlegen (von Sonderfällen abgesehen). 
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Die injektive Punktion 

/ : X —► IN definiert durch f(x i, £ 2 ) = x i • ^2 

mit X = {(xi,X 2 ) | £ 1 , £2 Primzahlen , K <x 1 < £ 2 } 

kann deshalb für hinreichend großes X (vgl. 10.2.3) als Kandidat für eine 
Einweg-Punktion betrachtet werden. Es sind keine Falltüren bekannt. 

10.2.4.2 Einweg-Funktion ohne Falltür: Exponentiation in F(p). 

Es sei p eine Primzahl. Für festes a kann die a-Exponentialfunktion 
F a : Z. p _ x —► Z p \{0} definiert durch F a (n) = a n mod p 

für hinreichend große p und a als Kandidat für eine Einweg-Funktion in 
Betracht gezogen werden (für Z. p s. Kap. 5). 


Beispiel: p = 

7, Z p \{0} 

= {1,2, 

3,4,5,61, 

a = 2: 


n 

0 1 

2 

3 

4 5 

6 

2 n 

1 2 

4 

8 

16 32 

64 

2 n mod 7 

1 2 

4 

1 

2 4 

1 

Der Berechnungsaufwand für F a 

hält sich selbst für IO 160 

überschreitende 


Werte von p,a in erträglichen Grenzen. Die schon in 9.5.2 aufgetretene 
grundlegende Idee des fortgesetzten Quadrierens und Multiplizierens gemäß 
der Dualdarstellung des Exponenten zeigt folgendes Beispiel: 

a 25 = n (a 2 -a) 2 ) J -a , da 25=LLOOL. 

Dabei wird nach jeder Quadrierung und nach jeder Multiplikation eine Re¬ 
duktion modulo p durchgeführt. 

Das Beispiel a = 2, p = 7 zeigt daß die a- Exponentialfunktion F a nicht 
notwendigerweise injektiv ist. Wenn jedoch F a injektiv ist über Z p \{0} und 
somit ein Gruppenisomorphismus von Z und Z p \{0}, dann wird a eine 
Primitivwurzel (,primitive Kongruenzwurzek) genannt, wie etwa a = 3, 
a = 11 , a = 13 , a = 17 für p = 31: 

3 n mod 31 ergibt eine Permutation mit der (13+9+8)-Zyklenzerlegung 
(1 3 27 23 11 13 24 2 9 29 21 15 30) (6 16 28 7 17 22 14 10 25) (4 19 12 8 20 5 26 18) 
ll n mod 31 ergibt eine Permutation mit der (26+3+l)-Zyklenzerlegung 
(1 11 24 8 19 22 18 2 28 10 5 6 4 9 23 12 16 20 25 26 7 13 21 27 15 30) (3 29 17) (14) 
12 n mod 31 ergibt eine zyklische Permutation mit dem Zyklus 
(1 12 20 23 28 26 2 24 9 15 25 21 4 17 18 30 19 11 8 3 5 29 7 22 16 6 10 27 14 13) 
13 n mod 31 ergibt eine Permutation mit der ( 13 + 6 -b 6 + 4 -bl)-Zyklenzerlegung 
(1 13 11 3 27 23 24 2 14 19 21 15 30) (4 10 5 6 16 18) (7 22 9 29 12 8) (20 25 26 28) (17) 

Man kann zeigen, daß es für jede Primzahl p mindestens eine Primitivwurzel 
gibt. In der Tat ist ihre Anzahl ip(p—l) (für die Eulersche Punktion ip siehe 
5.6), weitere für p — 31 sind 17, 21, 22, 24 (^(30) = 8). Für spezielle p mag 
es Besonderheiten geben. Beispielsweise sind für 5, 17, 257, 65537 und für 
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alle größeren Primzahlen der Form p = 2 2k + 1 (Fermatsche Primzahlen) 
— wenn es solche gibt — 3 und 7 stets Primitivwurzeln ( Albert H. Beiler, 
Armin Leutbecher). 

Wenn nun a eine primitive Kongruenzwurzel ist, hat F a eine Inverse F“ 1 , ge¬ 
nannt die diskrete a-Logarithmus-Funktion oder der Index in Z p \{0}. 
Während zwar die Exponentiation modulo p vergleichsweise schnell durch¬ 
führbar ist, ist es schwer einen effizienten Algorithmus für die Berechnung 
des diskreten Logarithmus zu finden. 

Unter den bekannt gewordenen Algorithmen für den diskreten Logarithmus 
über einer multiplikativen Gruppe wie etwa Z p \{0} erfordern selbst gute 
wie der Giant-Step-Baby-Step Algorithmus 5 ( D. Shanks 1971 ) einen Aufwand 
proportional yJ\Z p \ = yjp = e^ lnp und sind damit nicht effizient. 

Die besseren Index Calculus Methoden — die das Aufstellen einer geeigne¬ 
ten Basis für die multiplikative Gruppe, gewöhnlich die ersten t Primzah¬ 
len erfordern und damit die Vorausberechnung einer riesigen Datenbasis — 
funktionieren nur in günstig gelagerten Fällen, haben jedoch immer noch 
subexponentielle Komplexität, d.h. sie brauchen einen Aufwand der gleichen 
Größenordnung e V ln P’ ln O n p) w j e die Primfaktorzerlegung durch das Quadra- 
tic Sieve. 

(Z p , +, x) ist ein endlicher Körper, ein sogenanntes Galoisfeld ¥(p) der Cha- 
racteristik p. Allgemeiner betrachtet man das Galoisfeld ¥(p k ) , eine Körper¬ 
erweiterung von F(p), und seine multiplikative Gruppe F(p /c )\{0} , die wei¬ 
terhin eine zyklische Gruppe ist. Sie wird erzeugt durch irgendein Element x, 

k 

das eine nichttriviale Wurzel der Gleichung x p —x = 0 ist. Die Elemente von 
¥(p k ) sind dann die p k Polynome vom Höchstgrad k— 1 über dem Galoisfeld 
F(p) und können implementiert werden als ein fc-dimensionaler Vectorraum. 

Beispiel: p = 2, k = 3, F(2 3 ) = {0,1, x, x + 1, x 2 , x 2 + 1, x 2 + x, x 2 + x + 1} . 
x 8 — x hat einen irreduziblen Faktor x 3 + x + 1, Potenzen werden durch 
x 3 i —> x + 1 reduziert. 


Es ist die multiplikative Gruppe von F(p /c )\{0} , die eine tragende Rolle spielt. 
Für k> 1 ist diese Multiplikation verschieden von der der modularen Arith¬ 
metik. Somit haben wir schließlich den Gruppenisomorphismus 


F a : Zpfc 

-l 

-► 

F(p*)\{0} 

definiert durch 

F a (n) = a 

n in F (p k 

: ) 

Im Beispiel F(2 3 ) 

mit a — x 

und mit a 

= x + 1: 




n 

0 

1 


2 

3 

4 

5 

6 

7 

x n 

1 

X 


x 2 

x 3 

x 4 

X 5 

X 6 

x 7 

x n red. 

1 

X 


x 2 

x + l 

x 2 +x 

x 2 +x+l 

X 2 +1 

1 

n 

0 

1 


2 

3 

4 

5 

6 

7 

(x + l) n 

1 

x + 1 

(x + 1) 2 

(x+1) 3 

(x + 1) 4 

(x + 1) 5 

(x + 1) 6 

(x + 1) 7 

(x + l) n red. 

1 

x + 1 

x 2 + l 

X 2 

X 2 +X +1 

X 

x 2 +x 

1 


5 Für ein lauffähiges Program siehe Otto Förster, Algorithmische Zahlentheorie, Vieweg, 
Braunschweig 1996. 



200 10 Öffentliche Chiffrierschlüssel 


Der Fall p = 2 bei großem k ist von besonderem Interesse. 1988 hat John 
Pollard eine Variante Number Field Sieve (NSF) der Index Calculus Me¬ 
thode angegeben, wobei die Primzahlen durch irreduzible Polynome ersetzt 
werden — mit einer durch e (( ln p) 1/3 ( lnln p) 2/3 ) bestimmten Komplexität. Mit 
massiver Parallelberechnung hat man Vorarbeiten für so anspruchsvolle Pro¬ 
bleme wie F(2 503 ) bewältigt (Coppersmith 1986, McCurley 1990, Gordon und 
McCurley 1993). 

Ein natürlicher nächster Schritt im Gebrauch von Gruppenisomorphismen 
wurde durch die Methode der elliptischen Kurven ( elliptic curve method , 
ECM), entwickelt von Neil Koblitz (1985), V.S. Miller (1985), Hendrik W. 
Lenstra , jr. (1986) getan. Die Methode greift den Gebrauch gewisser alge¬ 
braischer Kurven dritter Ordnung in der projektiven Ebene über einem Kör¬ 
per K auf, und zwar speziell über ¥(p k ) . Einige Algorithmen wie der Giant- 
Step-Baby-Step Algorithmus können auf die Punktgruppe einer diskreten 
elliptischen Kurve übertragen werden. Es hat den Anschein, daß für die sonst 
ziemlich gute Index Calculus Methode das Finden einer Basis im Falle ellip¬ 
tischer Kurven wenig aussichtsreich ist. Somit verspricht die Index Calculus 
Methode unter Gebrauch elliptischer Kurven möglicherweise größere Sicher¬ 
heit für Identifikation und Authentisierung, was sie derzeit zu einem interes¬ 
santen Gegenstand der Forschung macht. Elliptische Kurven über F(2 fc ) (Fall 
p — 2) sind besonders vorteilhaft, da arithmetische Prozessoren für den zu¬ 
grundeliegenden Körper leicht zu konstruieren und für große k vergleichsweise 
einfach zu implementieren sind. 

Für die bisher betrachteten Methoden sind keine Falltüren bekannt gewor¬ 
den, auch nicht für den Fall F(2 fc ), k > 1. Für nicht aus Primzahlpotenzen 
zusammengesetztes q hat F a (x ) = a x mod q eine Falltüre, wenn q ein 
Produkt von zwei Primzahlen ist — nach Faktorzerlegung von q ist der Chi¬ 
nesische Restesatz anwendbar zur Erstellung einer Tafel, die die Berechnung 
erleichtert. 

10.2.4.3 Einweg-Funktion mit Falltür: h- te Potenz modulo q 

In (9.5.2) wurde die Potenzierung eingeschränkt auf den Körper F (p) . Nun 
mag q auch zusammengesetzt sein; der Exponent h sei eine feste natürliche 
Zahl, 

Ph(x) = x h mod q . 

Es gibt immer noch geeignete Paare (h,h ! ) fester Zahlen aus Z g \{0} (für 
q = 10 vgl. Tabelle 1 (5.5) mit N = 4 : h • h! = 1 mod 4) derart, daß 

(1) ein effizientes Verfahren existiert, Ph{x) für alle zu berechnen, 

(2) ein effizientes Verfahren existiert, P^x) für alle x e Z q zu berechnen, 

wobei P h ,{P h (x )) = x und Ph(Ph'(x)) = x . 

Aber: Es ist — falls nur h und q bekannt sind und etwa q > IO 200 gilt — 
kein effizienter Algorithmus zur Bestimmung der h- ten Wurzel modulo q 
(öffentlich) bekannt. 
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Es gibt jedoch eine Falltüre: Ein solcher Algorithmus kann viel leichter an¬ 
gegeben werden, wenn q Produkt zweier großer Primzahlen ist und die Zer¬ 
legung von q in Primfaktoren bekannt ist (s. 10.3). 

10.2.4.4 Einweg-Funktion mit Falltür: Quadrierung modulo q — p' • p" 

Hier handelt es sich um den wichtigen Sonderfall h — 2 von 10.2.4.3. Es 
geht um quadratische Reste 4 , Quadratwurzeln modulo q , mit denen sich 
schon Legendre und Gauß beschäftigten. Eine Anwendung für öffentliche 
Chiffriersysteme wurde 1985 von H. C. Williams untersucht. 

Wir betrachten zunächst den Fall q=p, p prim. Tabelle 1 (5.5) zeigt für un¬ 
gerades p unter N=p— 1 keine Einträge für h = 2. P<i ist weder injektiv noch 
surjektiv. Für die zweideutige (doppelsinnige) Umkehrung von P2 schreiben 
wir \J~. Durch Umkehrung der Funktionstabelle erhält man etwa für p= 17 
y/l = ±l y/2 = ±6 \/4 = ±2 ^ = ±5 y/9 = ±3 VlS = ±sVl5 = ±7Vl6 = ±4. 
Für p prim gibt es effiziente Verfahren zur Berechnung der Quadratwurzel, 
die auf dem Gaußschen Reziprozitätsgesetz für quadratische Reste aufbauen. 
Anders für zusammengesetzte q , etwa q = p' • p ": Wenn erst die Faktori¬ 
sierung von q bekannt ist, kann man, wenn man Quadratwurzeln =b u von a 
modulo p' und Quadratwurzeln ±v von a modulo p n , u ^ v, bereits kennt, 
yja modulo q leicht berechnen. Sonst aber ist nach M. O.Rabin (1979) die 
Umkehrung jedenfalls ebenso schwierig wie die Faktorisierung von q. 

10.3 RSA-Verfahren 

Dieses wohl bekannteste Verfahren 6 ist nach seinen Entwicklern Ronald L. 
Rivest , Adi Shamir, Leonard M. Adleman (1978) benannt, der Patentschutz 
in den U.S.A. reicht bis 20. September 2000. Es beruht auf der (weithin akzep¬ 
tierten) Vermutung, daß die Potenzierung modulo q unter bestimmten Vor¬ 
aussetzungen eine Einweg-Funktion mit Falltüre ist (s. 10.2.2 und 10.2.4.3). 
Anders als in 9.5.2 ist q nicht prim. 

10.3.1 Für den i-ten Partner in einem asymmetrischen Chiffrierverfahren 
sei 

(1) Qi — Pi' Pi A wo p[ , p" ungerade Primzahlen sind, p\ ^ p” . 

(2) ei , di € {.1,2, 1} cZ ?i \{0} , mit 

(2a) ggt (a, ip(qi)) = 1, (2b) ggt (di, ip(qi)) = 1, 

(2c) ei ■ di mod ip(qi) = 1 , 

wo ip die Carmichael-Funktion bezeichnet, 7 

Wi ■ Pi) = kgV (p'i - c Pi - 1) = 2 • kgV(^ , £ V i ) - 8 


6 US Patent 4405 829 vom 20. September 1983. 

7 Im Originalverfahren wird an Stelle der Carmichaelschen Funktion die Eulersche 
(p-Funktion verwendet. Die angegebenen Bedingungen gewährleisten die Bedingungen 
des Original Verfahrens. 

8 Es gilt ip(2 ■ p[ ■ p'f) = kgv(l, v'i - 1 , v'l ~ 1 ) = kgv(p' - 1 , p" - 1 ) . 
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Das RSA-Verfahren ist eine hochgradig polygraphische, monoalphabetische 
Blockchiffrierung mit Klartextzeichen pj £ ~L q . und Chiffrenzeichen Cj £ J. q . ; 
der Klartext wird gegebenenfalls vor der Anwendung des Verfahrens geeignet 
zerlegt und auf eine Folge von Elementen aus Z g . abgebildet. 

Es werden folgende Schlüssel für den z-ten Partner verwendet: 
öffentlich: (normalerweise zum Chiffrieren) 9 , 

privat: di (normalerweise zum Dechiffrieren) 

Der Chiffrierschritt ist über die Einweg-Funktion Ei : Z g . —► Z definiert: 
Eifnn ) = m ei mod (R = q . 

Der Dechiffrierschritt ist durch die Funktion Di : Z g . —► Z g . gegeben: 
Di(c) = c di mod q t — m % . 

Daraus resultiert ein asymmetrisches Chiffrier- und Signatursystem, da 
Di(Ei(x )) = Ei(Di(x )) = x für alle x £ ~L q . . 

Der Beweis geht im wesentlichen wie in 9.7.2. Man kann ihn auf folgendes 
Korollar des Satzes von Carmichael für teilerfremde a , n stützen: 

Wenn b = b 1 mod f)(n) , so a b = a b mod n . 

10.3.2 Beispiele 

Auf Salomaa zurück geht folgendes Beispiel: 

(d , di) = (1031, 31963 885 304131991) 

q % = 32 954 765 761 773 295 963 = 3 336 670 033 • 9 876 543 211; 

C(qi) = 16477382 874 280 041360 . 

Sogar ein Beispiel mit derart großen Zahlen ist unrealistisch für praktische 
Sicherheit. Zu Demonstrationszwecken verwenden wir hinfort Beispiele mit 
kleinen Zahlen, die sich mit einem Taschenrechner nachrechnen lassen. 

Beim Entwurf eines RSA-Chiffrierverfahrens geht man zweckmäßigerweise 
von der Falltür-Information aus: wir beginnen deshalb mit zwei Primzahlen 

p' = 47 , p'{ = 59 . 

Daraus ergibt sich: 

Qi = -p'l = 47-59 = 2773 , =Z 2773 = {0,1,2,..., 2772} , 

Tp{qi) = ^(2773) = kgv (46, 58) = 1334 . 


Für die allgemeine Definition von if(n) siehe etwa Scholz-Schoeneberg, Einführung in 
die Zahlentheorie, de Gruyter, 5. AufL, Berlin 1973. 'ip(n) ist Teiler von (f(n) , wo 
Lp die Eulersche Funktion ist. Der Satz von Robert D. Carmichael (1879-1967) besagt: 
Für teilerfremde a, n gilt mod n = 1 , und zwar ist ^(n) der kleinste 

Exponent x derart, daß a x mod n = 1 für alle zu n teilerfremden a gilt. 

Der Satz von Carmichael ist “... a very useful, but often forgotten, generalization of 
Euler’s theorem” (H. Riesel, Prime Numbers and Computer Methods for Factorization. 
Birkhäuser, Basel 1985). Tatsächlich erwähnen Rivest, Shamir, Adleman ihn nicht und 
auch Salomaa weist 1990 noch nicht auf ihn hin. Scholz-Schoeneberg geben Carmichael 
als Quelle nicht an. 

9 Da 2 | ipfoj • p'f) , ist ei — 2 ausgeschlossen. 
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Nun muß e* so festgelegt werden, daß ggt (e*, 1334) = 1 gilt. Es gibt 
viele Möglichkeiten, wie e* = 3,5,7,... ,19,21,25,27,33,35,37,39,... 
— wenn eine Menge {e^} ausgewählt wird, ist sogar polyalphabetische Chif¬ 
frierung möglich. 

Wir wählen 10 e* = 17. Man erhält di mit dem schnellen Divisionsalgorithmus 
(vgl. 9.5.1): aus der Bedingung ei • di = 1 mod 1334 ergibt sich di = 157 . 

Chiffriert wird also mittels 

E(m) = m 17 mod 2773 . 

Wegen 17 = LOOOL kann dieser Schritt durch 

^(((m 2 mod 2773) 2 mod 2773) 2 mod 2773) mod 2773j • m mod 2773 
effizient realisiert werden. 

Dechiffriert wird - ebenso effizient - mit Hilfe von 
D(c) = c 157 mod 2773 . 

Codiert man die Zeichen u (Zwischenraum) 11 , A , B , ... , Z als 00 , 01 , 
02 , ... , 26 , so können wegen 2626 < 2773 jeweils Blöcke von zwei 
aufeinanderfolgenden Zeichen in einem Schritt chiffriert werden. 

Die Nachricht 

errare u humanum u est 

wird also zunächst als 

05 18 18 01 18 05 00 08 21 13 01 14 21 13 00 05 19 20 
codiert und anschließend (blockweise) chiffriert: 

1787 2003 2423 0596 0340 1684 0340 0508 2109 . 

Identische Klartextblöcke führen bei dieser Chiffrierweise zu identischen Ge¬ 
heimtextblöcken — die Chiffrierung ist blockweise monoalphabetisch. Die¬ 
ser ECB-Modus (in DES-Sprechweise, 9.6.3) könnte in der Praxis — um die 
Kryptanalyse zu erschweren — durch einen CBC-artigen Modus ersetzt wer¬ 
den. Aber sogar periodische polyalphabetische Chiffrierung wäre vorzuzie¬ 
hen. 


10.4 Anmerkungen zur Sicherheit von RSA 

Neben den klassischen kryptanalytischen Ansätzen (s. Teil II), die man jeden¬ 
falls versuchen soll, gibt es bei dem RSA-Verfahren speziüsche weitere: 


10 di soll dabei nicht zu klein ausfallen, damit es nicht durch einfaches Probieren heraus¬ 
gefunden werden kann. Es ist also besser, di zu wählen und ei zu bestimmen. 

11 Entgegen der klassischen Gepflogenheit haben Rivest, Shamir und Adleman den Zwi¬ 
schenraum nicht unterdrückt. Die Literatur über das RSA-Verfahren folgt ihnen darin. 
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10.4.1 Angriff durch Faktorisierung von qi 

Gelingt es dem unbefugten Entzifferer, die Zerlegung qi = p ■ • p" zu finden, 

p'. — 1 p'! — 1 

so kann er ^(qf) — 2 • kgv (~ L ~^— , —) berechnen und mit der Kenntnis 

von Ci nach 10.3.1 (2c) leicht auch di berechnen. 

Um das RSA-Verfahren gegen diesen Angriff abzusichern, das heißt, die Fak¬ 
torisierung von qi praktisch undurchführbar zu machen (die tatsächliche Fak¬ 
torisierung erfordert häufig mehr Aufwand als der Nachweis der Faktorisier- 
barkeit), sollten folgende Bedingungen erfüllt sein: 

(1) IO 160 . 

(2) p\ und p'l (als Dezimalzahlen) unterscheiden sich in ihrer Länge 
um etliche Stellen. 


(3) Weder p[ noch p" sind klein, oder sind aus einer Primzahltafel 
genommen, oder sind von spezieller Form. 


Die Bedingung (1) ist nach 10.2.1 verständlich. Die Bedingung (2) verei¬ 
telt die exhaustive Suche nach einer Darstellung von ^ als Differenz von 
Quadraten: 


Qi = Pz • Pz 


(p'i+Pi 


) -(+^) 


mit ab ^/qi laufenden Werten für 


p'i+p'i 


Die Bedingung (3) vereitelt die 


exhaustive Suche in einer relativ kleinen Menge von Primzahlen. 


Der Aufwand für die Bestimmung von Primzahlen, die (1), (2) und (3) 
genügen, ist vergleichsweise gering. Von keinem dieser Angriffe wurde bisher 
berichtet, daß er erfolgreich gewesen wäre, vermutlich weil diese Sicherheits¬ 
vorschriften relativ leicht einzuhalten sind. 


10.4.2 Angriff durch Iteration (vgl. 9.4.2) 

Es sei 

c (°) _ m . (Klartextblock) , 

c W = Cj = Eifrrij ) mod (Geheimtextblock) . 

Man wiederholt 

c (k+i) _ ^.(£(«9) m0( j qi (i = 1,2,3, ... ) . 

Das kleinste k > 1 mit ist die Ordnung s mj von nij ; 

s mj gibt die Länge des Zyklus an, in dem sich rrij befindet. s mj — 1 heißt 
Wiederherstellungsexponent (engl, recovery exponent) von rrij . 


Beispiel 1: Wie oben, mit rrij = 0518 

(ei , di) = (17, 157) q % = 47 • 59 = 2773 ; 
c (°) = rrij = 0518 

C (P = Cj = 0518 17 mod 2773 = 1787 

c( 2 ) = 1787 17 mod 2773 = 0894 

c ( 3 ) = 0894 17 mod 2773 = 1364 

C G) = 1364 17 mod 2773 = 0518 = nij 


= 2668 = 2 2 • 23 • 29 

(=11-47 + 1) 

(= 38-47 + 1) 

(= 19-47 + 1) 

(= 29-47 + 1) 
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Hier sind wir wieder beim Klartext angelangt! Der Wiederherstellungsex¬ 
ponent von mj ist also gleich 3. Dem unbefugten Dechiffrierer wird dies 
spätestens bei der nächsten Iteration klar: 

0 5 ) = 0518 17 mod 2773 = 1787 = cj . 

Es gilt nach dem Korollar des Satzes von Carmichael (10.3.1): 
c (/c) _ m i7 k moc [ 2773 = my k mod 1334 mod 2773 . 

Es ist jedoch 17 44 mod 1334 = 1; deshalb <0 44 ) = mj mod 2773 = mj . 
44 ist also eine obere Schranke für die längste mit e = 17 auftretende Periode. 
Beachte, daß 44 Teiler ist von -0('0(2773)) = 0(0(47 • 59)) = 0(2 • 23 • 29) = 
2 • 11 • 14 = 308. Tatsächlich gibt es 

9 Zyklen der Länge 1 (Fixpunkte) 

42 Zyklen der Länge 4 — darunter der obige Zyklus von 0518 

6 Zyklen der Länge 22 
56 Zyklen der Länge 44 . 

Beispiel 2: 

(ei, d % ) = (7, 23) q % = 55 = 5 • 11 ; 0fe) = 20 = 2 • 2 • 5 . 

Dieses Beispiel ist klein genug, daß man alle Zyklen auflisten kann: 

9 Zyklen der Länge 1 (Fixpunkte): 

(0) (1) (10) (11) (21) (34) (44) (45) (54) 

3 Zyklen der Länge 2: 

(12,23) (22,33) (32,43) 

10 Zyklen der Länge 4: 

(2,18,17,8) (3,42,48,27) (4,49,14,9) (5,25,20,15) (6,41,46,51) 

(7,28,32,13) (16,36,31,26) (19,24,29,39)(30,35,40,50)(37,38,47,53) 

Es ist 7 4 mod 20 = 1. Eine obere Schranke für die längste mit e, = 7 
auftretende Periode ist 4. Beachte, daß 4 übereinstimmt mit 

i>(ip(55)) = ip{ 20) = 4 . 

Beispiel 3: 

(ei, d<) = (3, 675) qi = 1081 = 23 • 47 ; ^(1081) = 506 = 2 • 11 • 23 . 

Es ist 3 55 mod 506 = 1. 55 ist also eine obere Schranke für die längste mit 
irgendeinem e* auftretende Periode. Beachte, daß 55 die Hälfte ist von 

V’W’(1081)) = ^(506) = 2-5-U . 

Ein solcher Zyklus der Länge 55 ist 

(512,768,430, 531,629, 98,722, 683,209, 284,995,653, 16,853, 
813,535,239,1051, 25,491,190, 55,982, 439, 54,719,676,568, 

393,307,397, 331,384,324,721,1041,860,1005,991,675,213,538, 
660,807,606, 627,101,108,347, 192,581, 354,867, 2, 8 ) . 
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Es gibt typischerweise 16 Zyklen der Länge 55, 12 Zyklen der Länge 11, 
12 Zyklen der Länge 5 und wiederum 9 Zyklen der Länge 1 (Fixpunkte) 12 : 
(0) (1) (46) (47) (93) (988) (1034) (1035) (1080). 

Um das RSA-Verfahren auch gegen diesen Angriff abzusichern, das heißt 
einen großen Wiederherstellungsexponenten für hinreichend viele m G Z qi zu 
erreichen, sollte r iß( r iß(Qi )) möglichst groß sein. Es gilt nämlich: 

Die Periode — der Iterationsexponent — ist für alle , 
die teilerfremd zu 'iß(qi) sind, ein Teiler von ^>(^(ft)); 
diese Schranke kann sogar (für geeignete e*) erreicht werden. 


Der Beweis stützt sich auf das Korollar des Satzes von Carmichael : 


= rnC mod qi = (rrft mod ^ q ^) mod 


Qi 


k mod M( qi )) ) mod ^ ( ) 

= (m K ff } ^ qi) )mod qi ; 

mit k = 'iß ('iß (qi)) ergibt sich 

c (i>(i>(qi))) —m. 1 mod qi = (m e l mo d q i = m 1 j mod qi = ü°) . 

Somit ist 'iß('iß(qi)) eine Periode und ein Vielfaches des Iterationsexponenten. 

Um wenigstens 'iß(q'i) = ^(p- • p'() = 2 • kgv (^A , ^A) möglichst groß zu 
haben, sollten folgende Bedingungen für die Wahl von p\ und p" erfüllt 
sein 

(4) ff — 1 und p" — 1 enthalten große Primfaktoren, 

(5) ggt (p f i — 1 , p'l — 1) ist sehr klein. 

Die Bedingungen (4) und (5) sind in idealer Weise erfüllt, wenn p\ , p" 
sichere Primzahlen (9.5.2) sind. Dann sind sowohl ^_A wie auch prim, 
= ft/2. 

Der Aufwand, sichere Primzahlen zu finden, mag sich lohnen; es ist im 
übrigen nicht bewiesen, daß unendlich viele sichere Primzahlen existieren. 

Überdies zu verhindern, daß A(Üfe)) klein wird, bedeutet angesichts von 
^(2 .^.^)=2 -kgv((^ — l)/2 ,(^i-l)/2) = 2.kgv(^, *¥) 
daß für p\ und p" auch die folgenden Bedingungen gelten sollten: 

Pi~ 3 „„A Pi 


(6) ^ und 


enthalten große Primfaktoren, 


(7) ggt ist sehr klein - 

Die Bedingungen (6) und (7) sind in idealer Weise erfüllt, wenn zusätzlich 
sichere Primzahlen sind, d.h., p[ und p'l doppelt sichere 


Pi - 1 


and 


Pi -i 


Primzahlen sind; dann sind und 


prim, 


</#(%)) = 2-^-^ 


12 Fixpunkte können nicht völlig vermieden werden: Salomaa hat gezeigt, daß es stets 
mindestens neun Fixpunkte gibt. 
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Doppelt sichere Primzahlen sind 11, 23, 47, 167, 359, 719, 1439, 2039, 
2879, 4079, 4127, 4919, 5639, 5807, 5927, 6047, 7247, 7559, 7607, 7727, 
9839, 10799, 11279, 13799, 13967, 14159, 15287, 15647, 20327, 21599, 
21767, ... ; auch 2 684 999, 5 369 999, und 10 739 999. 

Abgesehen von 11, sind alle doppelt sicheren Primzahlen von der Form 
24a — 1. Für doppelt sichere Primzahlen p[ (vgl. Beispiel 3) ergibt sich 
</#(&)) ~ Qiiß- 

10.4.3 Angriff bei kleinem e* 

Der Arbeitsaufwand zur Chiffrierung ist klein, wenn klein ist — im Ex¬ 
tremfall ei — 3. Das mag zu bedenken sein, wenn der Sender nur über 
beschränkte Mittel verfügt — z.B. eine Chipkarte, und wenn der Empfänger 
von einem ziemlich großen di nicht erdrückt wird, etwa weil er einen zentra¬ 
len Rechner verfügbar hat. 

Kleine di sollten ohnehin nicht verwendet werden, um einen exhaustiven 
Angriff auszuschließen. Aber kleine ei zu verwenden ist ebenfalls gefährlich: 
Wenn dann ein und die selbe Nachricht mit den Blöcken mj (ein Rundschrei¬ 
ben) an viele verschiedene Empfänger verschickt wird unter Verwendung der 
selben Potenz e\ — e 2 —... = e s — e und mit verschiedenen (vermutlich paar¬ 
weise teilerfremden) qi , g 2 , ...g s chiffriert wird, mit Chiffraten m e - mod q \, 
m e - mod g 2 ,..., m mod q s , so läßt sich modulo q\ • g 2 • ... • q s der Wert von 
m! = m e mit Hilfe des Chinesischen Restesatzes berechnen. Dann gilt jedoch 
rrij = m !, und diese Gleichung mit bekanntem m! und bekanntem kleinem 
e läßt sich, obschon große Zahlen involviert sind, leicht nach rrij lösen. 13 Der 
Einbruch ist jedoch noch nicht komplett: di muß noch bestimmt werden. 

10.4.4 Nicht nur sollten beim RSA-Verfahren gewisse Klartextblöcke ver¬ 
mieden werden, die zu sehr kleinen Wiederherstellungsexponenten führen 
können. Beispiel 2 zeigt, daß auch eine unbedachte Wahl von e* die ma¬ 
ximale Zyklenlänge vermindern kann. Gewisse Möglichkeiten für e* sollten 
vollständig vermieden werden: a = iß(qi ) + 1 bewirkt, daß di = 2 p(qi ) + 1 
wird und damit Ei(mj) = Di(rrij) zur identischen Abbildung entarten. 

10.4.5 Das RSA-Verfahren gilt weithin als praktisch sicher, sofern obige 
Bedingungen erfüllt sind; zumindest sind keine ernsthaften erfolgreichen An¬ 
griffe öffentlich bekannt geworden. 

Das Verfahren hat aber auch seine Nachteile: 

RSA erfordert relativ lange Schlüssel, in naher Zukunft 1024 oder 
mehr Bits. 

RSA ist im Vergleich zu DES etwa um den Faktor 1 000 langsamer. 


13 M. J. Wiener , Cryptanalysis of short RSA secret exponents. EUROCRYPT ’89 Procee- 
dings. Lecture Notes in Computer Science 434, Springer 1990. 

Auch: IEEE Transactions on Information Theory, Vol. 36 No. 3, May 1990, pp. 553-558 . 
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10.5 Geheimhaltung versus Authentisierung 

Ein öffentlicher Chiffrier-Schlüssel weist auf ein Problem hin, das die klas¬ 
sische Kryptographie vernachlässigt: Sie glaubt, sie habe es nur mit dem 
passiven Gegner zu tun, der chiffrierte Nachrichten, die über Draht, elektro¬ 
magnetische Wellen oder akustisch übermittelt werden, mitliest oder abhört 
(engl, ea vesdropping), um die Chiffrierung zu brechen; im übrigen nimmt sie 
mit Gelassenheit an, daß es dem Gegner noch schwerer als dies fallen würde, 
eine Nachricht mit dem eigenen Schlüssel zu chiffrieren und aktiv in das ei¬ 
gene Netz einzuschmuggeln oder als solche auszugeben. Dies ist fahrlässig. 

Wenn Funkkontakt mit Spionen gehalten wurde, zeigte sich indes das Pro¬ 
blem auf seiner menschlichen Seite: Ein Spion konnte gefangengenommen 
werden, und selbst wenn es nicht gelang ihn „umzudrehen“, konnte sein Funk¬ 
gerät von jemand anderem benutzt werden. Ein solches ,Funkspiek fand 
1942-1943 zwischen Deutschen und Engländern statt, wobei ein niederländi¬ 
scher Untergrundagent verwickelt war. Stets eine Unterschrift des Funkers 
zu verlangen, nützt nichts, wenn dieser umgedreht wurde und dann bedeu¬ 
tete es auch nichts, daß man seine ,Handschrift‘ kannte. Wenn er jedoch 
unter Gewaltandrohung zur Kollaboration gezwungen worden war, gelang es 
ihm vielleicht, die ,security checks‘, die er unregelmäßig zur Authentisierung 
einzustreuen hatte — gewisse eigentümliche Rhythmen, die er sonst nicht 
gebrauchte — zu unterlassen oder zu ändern, ohne daß er Verdacht erregte. 
Man sicherte sich also in einer Weise, wie es im zivilen Verkehr durch die 
unverwechselbaren Eigenheiten der Unterschriften geschieht. 

Die Verwendung öffentlicher Schlüssel bietet nun einem Betrüger geradezu 
an, sich in eine Nachrichtenverbindung einzuschleichen. Die Authentisierung 
wird ebenso wichtig wie die klassische Geheimhaltung. In Geheimdiensten 
ist Authentisierung mit Geheimhaltung gleichrangig. 

Jedoch besteht zwischen diesen beiden Grundsätzen ein tiefer Konflikt, wie 
das folgende Beispiel zeigt: Handelt es sich um eine Nachricht mit Alarm¬ 
charakter, so kann man sie speichern und später wieder einschleusen; da¬ 
durch kann man falschen Alarm auslösen. Dagegen kann man sich durch eine 
Zeitangabe in der Nachricht schützen — muß allerdings dabei eine Klartext- 
Geheimtext-Kompromittierung (11.1.2) in Kauf nehmen. Es zeigt sich also, 
daß Geheimhaltung und Authentisierung getrennte Dinge sind, die sich nicht 
nur gegenseitig nicht nach sich ziehen, sondern sogar behindern. 

Überdies kann man feststellen, daß eine Chiffrierung gegen Brechen umso 
besser geschützt ist, je weniger Redundanz sie enthält; gegen Fälschung da¬ 
gegen, umso mehr Redundanz sie enthält (man kann das am Banknotendruck 
studierern). Geheimhaltung einerseits, Authentisierung andrerseits sind also 
einander widersprechende Aufgaben; um beiden zu genügen, sind zwei von¬ 
einander unabhängige Anstrengungen erforderlich. 
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Chiffrierverfahren, die nach 10.1.3 sogar Signaturverfahren sind, ermöglichen 
einen guten Kompromiß: Zusätzliche identifizierende Information nach verab¬ 
redeten Protokollen und vorab fehlererkennende (4.4.6) Codierung. 

Asymmetrische Verfahren haben sogar ihre besondere Stärke bei der Authen- 
tisierung, sie werden ferner (darauf haben DifRe und Hellman von Anfang 
an nachdrücklich hingewiesen) besonders vorteilhaft auch beim Schlüsselaus¬ 
tausch eingesetzt: Da Signaturen wie auch Schlüssel verhältnismäßig kurz 
sind gegenüber Nachrichten, kann der größere Zeitaufwand, den die hochran¬ 
gigen asymmetrischen Verfahren erfordern (er kann um ein Vielfaches größer 
sein), eher in Kauf genommen werden. Verfahren mit öffentlichen Schlüsseln 
sind keine Alternative zu klassischen symmetrischen Verfahren, sie ergänzen 
sich gegenseitig. Im Zahlungsverkehr werden heute in der Regel die Daten 
nur schwach chiffriert, der Authentisierung wird jedoch verständlicher weise 
die größte Aufmerksamkeit geschenkt, sie wird auch entsprechend gut be¬ 
zahlt. 

Der 1992 publizierte Digital Signature Standard (DSS) des N.I.S.T. (National 
Institute of Standards and Technology) der U.S.A. beruht auf dem Digital 
Signature Algorithmus (DSA), der, auf Patenten von Schnorr und ElGamal 
aufbauend, die diskrete Logarithmusfunktion (10.2.4.2) benutzt. Er hat sich 
umfangreiche Kritik gefallen lassen müssen; insbesondere wurde bemängelt, 
daß nicht das RSA-Verfahren genormt wurde. 

Zur sender- und empfängerseitigen Bildung von 160-Bit-Prüfgruppen fmes- 
sage digest ’) dient der standardisierte Secure Hash Algorithm des N.I.S.T.. 
Im übrigen ist es auch wichtig, Vergabe und Verwaltung öffentlicher Schlüssel 
einer vertrauenswürdigen Instanz zu übertragen. Eine solche zu finden ist 
ein politisches Problem; eine Behörde, zu deren Aufgabe auch Kryptanalyse 
gehört, wird es schwer haben, in der Öffentlichkeit als unvoreingenommen zu 
gelten. 

10.6 Sicherheit der öffentlichen Chiffrierverfahren 

Wie schon einleitend gesagt, wird bei den bisher vorgeschlagenen Verfahren 
mit öffentlichen Schlüsseln ( public cryptography ) zur Chiffrierung kommer¬ 
zieller Nachrichtenwege Shannons Maxime im Extrem befolgt: Die Sicherheit 
beruht allein auf dem DechiffrierschlüsseL Dies allerdings geschieht nicht nur 
aus kryptographischen Gründen; hier wird eine Not zur Tugend gemacht. 14 
Mit der Öffentlichkeit der Kryptographie wird nun auch die Kryptanalyse 
in den öffentlichen Bereich gerückt. Die Öffentlichkeit könnte den Eindruck 
gewinnen, daß auch die Kryptanalyse mehr denn je öffentlich ist. 

Dem ist nicht so: Sie ist weiterhin geheimnisvoll. Trotzdem muß man fest¬ 
stellen, daß die öffentlich verwendeten Verfahren beim professionellen Krypt- 
analytiker reine Freude hervorrufen müssen. Neben den systembedingten 

14 Mittlerweile auch bei symmetrischen Verfahren, bei denen es gar nicht nötig wäre. 
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Angriffswegen liegen alle klassischen Angriffswege offen, insbesondere wird 
bei heftigem Verkehr ein- und derselbe fortlaufende Schlüssel häufig wieder¬ 
holt angewandt. Auch muß man sich vor schlauen Ideen besonders hüten. 
Beispielsweise könnte die Verwendung von doppelt sicheren Primzahlen eine 
complication illusoire sein: Vielleicht bieten sie gerade einen Angriffsweg zur 
Reduktion der Exhaustion. 15 

Was jedoch dem zivilen, kommerziellen Benutzer trügerische Sicherheit vor¬ 
spiegelt, ist die rein kombinatorische Komplexität. Abhandlungen, in denen 
die Komplexität der Verfahren berechnet wird, unterstützen den beruhigen¬ 
den Eindruck. Dabei ist es für den heutigen Zustand der Komplexitätstheorie 
bezeichnend, daß sie meist nur obere Schranken liefert — von unteren Schran¬ 
ken etwa für den Aufwand zur Primfaktorisierung scheinen die bekannten 
Verfahren noch weit entfernt zu sein (10.2.3). Der völlige Wegfall des Kryp- 
tosekretärs, sein Ersatz durch einen Computer macht die Sache im übrigen 
noch schlimmer: Zwar werden Chiffrier-Irrtümer wegfallen, aber auch der 
wachsame Verstand eines Menschen, der allein hilft, schwerwiegendere Chif¬ 
frierfehler zu vermeiden. 

Somit darf man nicht erwarten, daß die vorgeschlagenen Chiffrierverfah¬ 
ren der public cryptography für Experten, insbesondere in den hoheitlichen 
Diensten, unangreifbar sind. Die Professionellen sind jedoch natürlicherweise 
sehr zurückhaltend und brüsten sich nicht mit ihren Fähigkeiten; eher neigen 
sie zur Untertreibung. 


15 


Nach A. Gerold kann man aus dem Modul auf die Struktur der Primfaktoren schließen. 
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Chiffriersicherheit 


“Even in cryptology , silence is golden 
Laurence D. Smith 

Kennwörter dienen der Auswahl eines Verfahrens aus einer Verfahrensklasse, 
Schlüssel vor allem der Auswahl von Chiffrierschritten aus einem Chiffriersy¬ 
stem. Pessimistischerweise ist anzunehmen, daß der Gegner (engl, adversary, 
frz. adversaire ) oder Feind (engl, enemy, frz. ennemi) die Verfahrensklasse 
kennt — es gibt ja nicht allzuviele, die im Gebrauch sind. Dem von Kerck- 
hoffs formulierten Grundgesetz der Kryptologie 6 : <^Il faut qu’il puisse sans 
inconvenient tomber entre les mains de Vennemi^ gab Shannon die Fassung 
“The enemy knows the System being used”. 

Daraus folgt zunächst, daß die Sicherheit weitgehend am Schlüssel hängt, und 
daß man mit der Wahl eines Schlüssels besonders vorsichtig zu sein hat. Der 
Gebrauch naheliegender Wörter ist trivialerweise ein schwerer Chiffrierfehler. 
Schon Porta hat darauf nachdrücklich hingewiesen: „Je mehr die Schlüs¬ 
selwörter entfernt sind von gewöhnlicher Kenntnis, desto größere Sicherheit 
gewähren sie dem Schreiben“. Dementsprechend gelangen auch schon unbe¬ 
fugte Entzifferungen durch Erraten des Schlüsselwortes, kaum daß der Ge¬ 
brauch von Schlüsselwörtern aufkam. Porta schrieb, er habe einmal eine 
Nachricht innerhalb weniger Minuten gebrochen — er erriet den Schlüssel 
OMNIA VINCIT AMOR. Giovanni Batista Argenti hatte ebenfalls Glück, 
er erriet den Schlüssel IN PRINCIPIO ERAT VERBUM. Hehre Wörter 
wie KAISER und VATERLAND , TORCH und LIBERTY , GLOIRE und 
PATRIE , die hohe patriotische Gefühle ausdrücken, mögen sich zur Unter¬ 
stützung der psychologischen Kriegsführung eignen, aber nicht als Schlüssel . 1 

11.1 Chiffrierfehler 

Als ChifFrierfehler bezeichnet man Verstöße gegen die Chiffriersicherheit, 
also nicht nur den Gebrauch eines zu naheliegenden Schlüssels, sondern alles, 
was dem unbefugten Entzifferer die Arbeit leicht macht. 


1 Es ist erstaunlich, wie viele Leute heute als Rechnerzugangs-Paßwörter ihren Namen 
oder ihr Geburtsdatum verwenden — etwas anderes können sie sich nicht merken. 
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„Funken ist Landesverrat“ soll (nach Praun) Generalmajor Erich Fellgiebef 
Chef des Wehrmacht-Nachrichtenverbindungswesens, zu Kriegsbeginn über¬ 
deutlich gesagt haben. In der Tat laden Funkverbindungen zum Abhören 
geradezu ein. Sie sollten also nur gebraucht werden, wenn alle anderen, si¬ 
cheren Nachrichtenwege erschöpft oder unerreichbar sind. Während sich das 
disziplinierte Heer daran hielt und auch die Kriegsmarine, obschon sie auf 
See keine Drahtverbindungen benutzen konnte, galt Funken bei der Luftwaffe 
als Regelfall (J. Rohwer). „Görings bekannter Übermut ... konnte auch zu 
übermäßiger ‘Lust zu funken’, zu jeweils detaillierten Berichterstattungen, die 
sich nicht nur auf Luftkampfsituationen, sondern auch auf die Lage der Hee¬ 
resverbände bezogen, führen“ ( R.Elble ). Unzulängliche Führungstechniken 
bestimmten den Geist des Göringschen Luftwaffenoberkommandos. 

Über solche Kardinalfehler hinaus, gibt es viele Möglichkeiten, die Chiffrier¬ 
sicherheit zu verletzen. 

11.1.1 Dazu gehören auch Irrtümer beim Chiffrieren. Sie machen zunächst 
dem befugten Dechiffrierer die Arbeit schwer oder ganz unmöglich. Im letz¬ 
teren Fall steht das Unheil schon vor der Tür; die Nachricht muß nochmals 
angefordert werden. Wird nun die selbe Nachricht mit dem selben Schlüssel 
nochmals chiffriert (diesmal korrekt), so erlaubt der Vergleich der beiden, 
in der Regel bis auf die Stelle des Irrtums oder doch wenigstens bis zu die¬ 
ser Stelle hin übereinstimmenden Nachrichten (,Klartext-Klartext-Kompro- 
mittierung‘) durch eine ,Differentialanalyse‘ gewisse Einblicke in das Verfah¬ 
ren. Wird jedoch mit der selben Nachricht ein anderer Schlüssel benutzt, 
so hat man die Situation einer ,Geheimtext-Geheimtext-Kompromittierung‘, 
die mit geeigneten Methoden gelegentlich die Entzifferung des Schlüssels 
erlaubt — und zwar auch, wenn ein progressiver Schlüssel verwendet wurde, 
dessen Alphabete noch gar nicht wiederholt wurden. Unglaublicherweise 
wurde von den Deutschen im 2. Weltkrieg häufig der gleiche Befehl an Ein¬ 
heiten, die verschiedenen ,Kenngruppen-Netzen‘ angehörten, in verschiede¬ 
nen Chiffrierungen — bei auffällig gleicher Länge — gefunkt (Heinz Ulbricht: 
„Mitteilung von Dönitz auf vielen Schlüsseln, daß er zum Admiral befördert 
worden war“). Einzige Abhilfe ist: die Nachricht vollständig neu zu formu¬ 
lieren, unter Gebrauch anderer Wörter. Auch das russische Verfahren (3.4), 
die Nachricht ungefähr in der Mitte zu zerschneiden und verkehrt herum 
zmmenzusetzen, bietet keine Sicherheit. 

11.1.2 Ein klassischer Kunst fehler ist es, wenn eine chiffrierte Nachricht 
nochmals, beispielsweise wegen Problemen des Schlüsselnachschubs, im Klar¬ 
text übermittelt wird (,Klartext-Geheimtext-Kompromittierung‘). Jetzt ist 
aus Klartext und Geheimtext nicht nur die Verfahrensklasse, sondern im 
Falle einer Shannonschen Chiffrierung (2.6.4) auch der Schlüssel rekonstru¬ 
ierbar. Damit wird möglicherweise nicht nur ein täglich wechselnder Schlüssel 
aufgedeckt, sondern auch ein darunter liegendes festes oder doch nur selten 
wechselndes Verfahren, etwa ein Codebuch. Deshalb gehörte „Weh dem der 
lügt und Klartext funkt“ zu den eisernen Regeln des in 4.4 erwähnten Leut- 
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nants Jäger , des Lieblings der alliierten kryptanalytischen Büros. Verständ¬ 
lich, daß es zu den Höhepunkten eines professionellen Kryptanalytikers zu 
gehören scheint, eine Klartext-Geheimtext-Kompromittierung zu erleben. 

Verständlich auch, daß mit List und Schläue die Dienste versuchen, so etwas 
herbeizuführen. Da gelang es 1941 einem hohen japanischen Beamten, dem 
amerikanischen Botschafter Joseph C. Grew ein Papier zuzustecken mit der 
Bemerkung, daß ein Mitglied der japanischen Regierung der U.S. Regierung 
eine Botschaft übermitteln wolle, aber Angst habe, die Militärs könnten da¬ 
von erfahren, und daß er sie deshalb im geheimsten diplomatischen Code 
übermitteln sollte. Der Angriff war gegen das Streifengerät M-138-A (vgl. 
7.5.3) gerichtet, und so chiffriert ging die Nachricht in den Äther. Angeblich 
soll es den Japanern trotzdem nicht gelungen sein, M-138-A zu brechen. 

Eine ähnliche Geschichte stammt aus der Zeit der Dreyfus-Affäre: Als 1894 
Alfred Dreyfus auf ganz vage Anschuldigungen hin verhaftet worden war und 
La Libre Parole freudig das Ereignis hinausposaunt hatte, sandte Oberst Pa- 
nizzardi , der italienische Militärattache am Quai d’Orsay, ein Telegramm 
nach Rom. Die französischen Kryptanalysten, die eine Kopie erhielten, hat¬ 
ten Anlaß zu vermuten, daß ein kommerzieller (!) Code von Baravelli (4.4.3) 
benutzt worden war, der mit Einer-, Zweier-, Dreier- und Vierergruppen 
arbeitete, und daß dieser Code überschlüsselt war. Nach dem Teiltext /drey¬ 
fus/ suchend, der als 227 1 98 306 chiffriert sein mußte, fanden sie das 
Muster 527 3 88 706 und wußten, daß die Überschlüsselung nur die erste 
Ziffer berührte (es handelte sich um eine Umnumerierung der Seiten im Code¬ 
buch). Die Nachricht konnte bis auf die letzten vier Gruppen entziffert wer¬ 
den; über deren Bedeutung war man sich zunächst nicht im klaren. Man ver¬ 
mutete U uffiziale rimane prevenuto emissarid ’ und dies wurde (von Sandherr , 
dem Nachrichtendienst-Chef) als Beweis von Dreyfus ’ Schuld angesehen. Am 
nächsten Tag fand man das System der Überschlüsselung heraus, es ergab 
sich U uffizialmente evidare commenti stampa”. Das entlastete Dreyfus , aber 
Sandherr meinte, „diese Dinge sind immer etwas unpräzise“. Da kam Matton , 
ein Untergebener Sandherrs , auf die Idee, Panizzardi ein Telegramm unterzu¬ 
schieben. Ein Doppelagent schleuste eine als wichtig aufgemachte Nachricht 
ein, und Panizzardi gab sie, wie sich herausstellte, fast wörtlich weiter. Die 
Kryptanalytiker, die nicht eingeweiht waren, lösten die Nachricht unmittelbar 
und Matton konnte sich von der Richtigkeit überzeugen. Dennoch wurde vor 
Gericht eine gefälschte Version verbreitet, und es dauerte bis 1906, bis Dreyfus 
rehabilitiert, d.h. von einem Gericht freigesprochen war. Die Affäre Drey¬ 
fus ist in Frankreich immer noch nicht ausgestanden: Im Februar 1994 ent¬ 
hob der französische Verteidigungsminister Frangois Leotard den Leiter der 
historischen Abteilung der Landstreitkräfte, Oberst Paul Gaujac , wegen einer 
nicht genehmen „tendenziösen Analyse“ des Falles Dreyfus seines Postens. 

Auch Österreich-Ungarn hatte seinen Triumph: Als Figls Leute 150 Wörter 
eines zwischen Rom und Konstantinopel benutzten italienischen diplomati¬ 
schen Codes erforscht hatten, erweiterten sie ihr Wissen Schritt für Schritt, 
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indem sie Bruchstücke militärisch relevanter Informationen in eine italienisch¬ 
sprachige Zeitung in Konstantinopel schmuggelten. Innerhalb eines Monats 
konnten sie das ihnen bekannte Vokabular auf 2 000 Wörter erweitern. 

Noch einfacher ist die Methode, für die die Russen berühmt sind: dem Bot¬ 
schafter den Klartext zu stehlen. In diesem Fall beeilt sich der Diplomat, 
seiner Regierung zu versichern, es sei kein Code der höchsten Geheimhal¬ 
tungsstufe verwendet und dadurch bloßgestellt worden — auch wenn es nicht 
so ist. Selbst Italien hatte seine professionelle squadra penetrazione. 

Ein Beispiel für einen überholten Code ist der GRAY-Code des State De¬ 
partment: Als er nach dem Ende des 1. Weltkriegs aufgestellt wurde, um die 
veralteten und kompromittierten Codes RED, BLUE, GREEN abzulösen, 
war wohl nicht damit gerechnet worden, daß er zwei Jahrzehnte in Gebrauch 
bleiben würde. Er war den foreign Service ofhcers so vertraut, daß Diploma¬ 
ten Abschiedsreden in GRAY aus dem Stegreif halten konnten. Roosevelt 
sandte am 6. Dezember 1941 eine Notiz an Cordeil Hüll: “Dear Cordeil — 
Shoot this to Grew [der amerikanische Botschafter in Tokio] — I think can go 
in gray code — saves time — I don’t mind if it gets picked up. FDR” . Frank¬ 
lin Delano erzielte nicht den gewünschten Effekt: Die Entzifferung dauerte 
Zeit und die persönliche Friedensbotschaft, die er dem Tenno übermittelte, 
kam zu spät — sie hätte wohl auch nichts mehr bewirkt. 

11 . 1.3 Diese Episoden beleuchten eine allgemeine Methode der Kryptana- 
lyse, die Methode des wahrscheinlichen Wortes. Solche Wörter sind oft 
durch aktuelle Ereignisse bestimmt. Sie müssen dann umschrieben werden. 
Französische Truppen führten im 1. Weltkrieg Angriffe gegen die deutschen 
Stellungen lediglich, um im deutschen Funkverkehr gewisse wahrscheinli¬ 
che Wörter 4 auszulösen — wie gut, daß Soldaten selten wissen, wofür sie 
kämpfen 2 . Neben Wörtern wie Angriff / attack/ attaque, Bombardierung/ 
bombardment/bombardement etc. aus aktuellen Anlässen birgt die militäri¬ 
sche Sprache einen reichen Schatz auffälliger Wörter und stereotyper Phrasen 
wie ,Hauptquartier 4 und ,Generalkommando 4 , ,Divisionsstab 4 und ,Radio¬ 
station 4 . Verheerend wirkt der alltäglich abgesetzte gleiche Spruch „Ohne 
besondere Vorkommnisse 44 oder „Nichts zu melden 44 . An ihnen setzt die Me¬ 
thode des wahrscheinlichen Wortes ebenso an wie an den Wörtern Liebe, 
Herz, Feuer, Flamme, brennen, Leben, Tod, die schon Porta aufzählte als 
unabänderliche Requisiten von Liebesbriefen. Besonders gefährlich wird die 
Gewohnheit, stereotype Wendungen zu verwenden, im Hinblick auf den 
Wechsel des Schlüssels: Der neue Schlüssel kann aus den alten Phrasen un¬ 
schwer binnen kurzem deduziert werden. Nicht immer wird man allerdings so 
viel Glück haben wie der Leutnant Berthold im Büro G.2 A.6 der American 
Expeditionary Force von 1918, der am 11. März 1918, 07:40 einen Funkspruch 


Die Briten ließen im 2. Weltkrieg eines ihrer Flugzeuge eine Leuchttonne, die eine Fahr¬ 
rinne der sonst verminten Einfahrt nach Calais markierte, versenken — lediglich um 
den Spruch „Erloschen ist Leuchttonne“ auszulösen, und auf /leuchttonne/ eine Suche 
anzusetzen (s. 14.1). 


2 
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in Ziffern aufffng offenbar in einem neuen Schlüssel; und einige Stunden 
später einen Spruch gleicher Länge mit Buchstaben im alten Schlüssel — der 
Empfänger hatte die neuen Chiffrierunterlagen noch nicht vorhegen und um 
nochmalige Übermittlung im alten Schlüssel gebeten. 

Auch beim PLAYFAIR-Handschlüssel des Deutschen Afrika-Korps passierte 
anläßlich einer Umstellung am 1.1.1942 eine solche Geheimtext-Geheimtext- 
Kompromittierung des Schlüssels. 

Sehr folgenreich war eine Bloßstellung der noch nicht einmal eingesetzten 
4-Rotor-ENIGMA Ende 1941 durch einige übungshalber parallel mit der 
3-Rotor-ENIGMA chiffrierte Funksprüche. Bletchley Park war damit in der 
Lage, die Verdrahtung des neuen Rotors (der „Griechenwalze“ ß) heraus¬ 
zufinden, bevor am 1. Februar 1942 die 4-Rotor-ENIGMA offiziell eingeführt 
wurde. 

Schon in Friedenszeiten muß ja das Handwerk gelernt werden: Weil man 
nichts Besseres weiß, werden in Manövern Standardtexte bekanntester Art, 
Sprichwörter, Redensarten übertragen. Bei genügender Einfallslosigkeit kann 
das eine Chiffrierung vollständig offenlegen, bevor noch der erste Schuß ge¬ 
fallen ist. Dazu schreibt Hüttenhain : „Es ist ein Fehler, ein Verfahren, das 
längere Zeit in einem kleinen Kreis bereits benutzt wurde, zum Hauptver¬ 
fahren zu machen“. Was die unter Umständen unvermeidbaren stereotypen 
Briefanfänge und -endungen (“For Murphy ”, 4.4) anbelangt, hilft auch die 
oben erwähnte Methode des russischen Kopulierens nur wenig, sie sollte aber 
trotzdem verwendet werden, um unerfahrene Codebrecher irrezuführen. 

11 . 1.4 Schließlich ist auch bereits das bloße Einsetzen des Funkverkehrs ein 
bedeutsames Zeichen. 3 Wenn man es sich leisten kann, sollte man Nachrich¬ 
tenverbindungen kontinuierlich betreiben und auch in den Betriebspausen 
Text senden — keine Testsätze, keinen Zeitungstext, sondern irrelevanten, 
unperiodischen, am besten reinen Zufallstext oder synthetische Sprache, die 
möglichst auch die Häufigkeitscharakteristik der betreffenden Sprache zeigt, 
verwenden (,Verkehrsauffüllung 6 , engl, traffic padding). Durch zufallsbe¬ 
stimmten unregelmäßigen Neubeginn kann man aus einem Text von 10 000 
Wörtern lange unperiodische synthetische Texte ableiten. Eine bessere, zur 
Herstellung synthetischer Sprache geeignete Methode hat Küpfmüller um 
1950 angegeben. Aus einer Textvorlage wird eine n-gramm-Approximation 
durch einen Schieberegisterprozeß gewonnen: Für jeweils n — 1 Zeichen wird 
im Text das nächste Vorkommnis gesucht und das darauffolgende Zeichen an¬ 
gehängt, das vorderste Zeichen entfernt und der Prozeß wiederholt. Mit einer 
Tetragramm-Näherung erhält man aus dem ersten Kapitel einer berühmten 
Novelle von Thomas Mann den folgenden Nonsense-Text, demgegenüber 
selbst Helmut Heissenbüttel bläßlich wirkt: 


3 Da während einer größeren militärischen Operation die Nachrichtenverbindungen er¬ 
fahrungsgemäß stark belastet sind, pflegen die Stäbe einige Tage vor Beginn solcher 
Operationen regen persönlichen Verkehr (engl, underwear effect genannt). 
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thomas ist daher mit mein hand zeigen äugen von geschaeftig 
im kreissigenmauemdisellschaeftwar zur seligen durchterlich 
hier familie hierheben herzigkeit mit eindrinnen tonyzu 
plaudertfuenf uhr erzaehlung ich regeshaehm die konnte 
neigte sie dem ich was stuetzte heissgetuebrige wahrend tause 

Durch solches Verstecken der Nachricht in einem Wust belanglosen Textes 
wird die Arbeitslast, die der unbefugte Entzifferer aufzubringen hat, auf ein 
Vielfaches gesteigert und, vgl. 2.1.1, die erforderliche Verzögerung erreicht. 
Jedoch besteht das Problem, daß die Empfangsstelle höllisch aufpassen muß, 
um nicht ein eingeschobenes Stück echter Nachricht zu übersehen. 

11 . 1.5 Selbst das Auffüllen mit stereotypen Blendern wie /x/, die Wieder¬ 
holung ein und des selben Wortes oder die Verdoppelung von Buchstaben 
kann gefährlich sein. Abhilfe bringt Umschreibung, der Gebrauch von Syno¬ 
nyma oder die (wahllose!) Verwendung von Homophonen — hierzu gehört 
aber der Gebrauch von echten Blendern, um Teil-Wiederholungen in der Um¬ 
gebung von Homophonen zu überdecken. Geradezu haarsträubend ist es, 
wenn in der Wehrmacht (Heer) für die aus gutem Grund fehlenden Interpunk¬ 
tionszeichen 4 ein /x/ (Punkt), /y/ (Komma) oder gar /xx/ (Doppelpunkt), 
/yy/ (Bindestrich), /j/ (Anführungszeichen) zu benutzen vorgeschrieben 
bzw. üblich war; dazu kam die Verdoppelung wichtiger Wörter oder Buch¬ 
staben wie /anan/, /vonvon/, auch Buchstabenverdreifachung: /bduuu/ 
für ,Befehlshaber der U-Boote‘, /okmmm/ für ,Oberkommando der Marine ‘ 
(vgl. 9.2.5) 5 . Dies, zusammen mit unvermeidlichen Phrasen wie ,auf Befehl 
des Führers^, ,Heil Hitler‘, die niemand zu unterdrücken wagte, half den Bri¬ 
ten enorm, die ENIGMA zu brechen. Sie waren so an diese Dummheiten 
der Deutschen, etwa einen Spruch durch viele /x/ am Anfang und am Ende 
aufzufüllen, gewöhnt, daß sie sich sehr entrüstet zeigten, wenn ENIGMA- 
Entzifferungen unsinnige Texte (im britischen Jargon quatsch genannt) als 
Anfang und Ende ergaben. 

Zu Zeiten der Argenti s herrschte diesbezüglich mehr Aufmerksamkeit als im 
19. und 20. Jahrhundert, wo man von der Unbrechbarkeit von überschlüssel¬ 
ten Codes und anderen kombinierten Verfahren übersteigerte Vorstellungen 
hatte. Das Weglassen von Buchstabenverdoppelungen ist nur eine Maßnahme 
unter den absichtlichen BuchstabierfehlenT, die schon die Argentis empfah¬ 
len. Zu Recht schrieb Porta schon 1563 „Denn es ist besser für den Schreiber, 
sich als Dummkopf ansehen zu lassen, als den Preis für die Aufdeckung seiner 
Pläne zu bezahlen“. Und die Argenti s empfahlen, absichtliche orthographi¬ 
sche Fehler zu machen. Je höher gestellt jedoch die betreffende Person ist, 
um so weniger darf erwartet werden, daß sie die nötige menschliche Größe 


4 A propos Wortzwischenraum: Ihn zu unterdrücken, ist eine unumgängliche Vorsichts¬ 
maßnahme der professionellen Kryptographie. 

5 Andrerseits wurde häufig /ch/ durch /q/ ersetzt. Bei der Kriegsmarine wurden manch¬ 
mal Zahlen, deren Ziffern durch Buchstaben chiffriert waren, in /y/.../y/ eingeschlossen. 



11.1 Chiffrierfehler 217 


aufbringt, um sich mit verunstaltetem Text abzufinden. Der ideale Kryptose- 
kretär (engl, code clerk , cipher clerk ) muß also eine dichterische Sprache mit 
eiskalter Intelligenz und unter Verachtung jeder Orthographie beherrschen. 
Kein Wunder, daß man ihn selten findet. Und die Versuchung ist groß, ‘ra- 
dio’ und ‘Station’ getrennt zu codieren oder gar buchstabenweise, wie es ein 
fauler österreichischer Knabe tat und damit Luigi Sacco 1918 einen Einbruch 
ermöglichte (s. 13.4.1), oder Blender als Wortzwischenraum zu mißbrauchen, 
oder, wie eine französische Widerstandsgruppe, tobacco als Blender zu ge¬ 
brauchen, was zwar ihren Nachschub erhöhte, aber auch zum Brechen einer 
doppelten Transposition führte. Dummheiten hatten oft verheerende Folgen. 
“The sending of this one message must certainly have cost the lives of thou- 
sands of Germans” schreibt Moorman , der Chef vom G.2A.6, im Hinblick auf 
den in 11.1.3 erwähnten Glücksfall vom 11. März 1918, durch den Berthold 
die Pläne für die deutsche Offensive vom 21. März 1918 bloßlegen konnte. 

11 . 1.6 Zu den Führungsmerkmalen gehört daher Aufklärung darüber, wie 
kleinste Chiffrierfehler vom Feind ausgenützt werden können, und Überwa¬ 
chung. Givierge schreibt Chiffrez bien, ou ne chiffrez pas. En transmet- 
tant du clair, vous ne donnez qu’un renseignement ä Vennemi et vous savez 
lequel; en chiffrant mal, vous lui permettez de lire toute votre correspon- 
dance et celle de vos amis.^> Der gutgemeinte Rat darf allerdings nicht so 
großzügig ausgelegt werden, daß eine Chiffrierung von Funksprüchen ganz 
unterbleiben könnte. Dies geschah tatsächlich Ende August 1914 mit den 
Funksprüchen der russischen Narew-Armee Rennenkampfs in Ostpreußen, 
die unchiffriert in den Äther gingen, weil die Chiffrier- und Dechiffrierunter¬ 
lagen noch nicht bei der Truppe eingegangen waren und weil es an Telephon¬ 
verbindungen mangelte. Es ermöglichte Hindenburg und Ludendorff den Sieg 
in der Schlacht von Tannenberg samt Aufstieg zu Volkshelden. Umgekehrt: 
Die Deutschen verschlüsselten im 2. Weltkrieg Wettermeldungen und gaben 
damit, da das Wetter in Europa vorherrschend von West nach Ost zieht, oft 
zum Ansatz des wahrscheinlichen Wortes‘ Anlaß; es wäre besser gewesen, 
solche unwichtigen Nachrichten im Klartext zu funken. 

Rohrbach empfiehlt deshalb (s. 11.2.5), bei der Beurteilung der Sicherheit ei¬ 
nes Verfahrens auch die Möglichkeit von Chiffrierfehlern einzubeziehen, da sie 
doch unausrottbar seien. Fragen der Abschirmung und Abwehr sind natürlich 
ebenfalls von großem Belang. 

11 . 1.7 Die Verwendung memorierbarer Schlüssel (auch doppelter Schlüs¬ 
sel) gibt dem unbefugten Entzifferer eine Art Beweis in die Hand, wenn es 
ihm gelingt, den Schlüssel zu rekonstruieren, insbesondere wenn dieser etwas 
,bedeutet‘, das dem Absender ,am Herzen liegt‘. 

11 . 1.8 Die Unbequemlichkeiten organisatorischer Art, die mit der Aufrecht¬ 
erhaltung der Chiffriersicherheit verbunden sind, sind nicht zu unterschätzen. 
Regelmäßiger Wechsel von Schlüsseln macht Arbeit. Trotzdem ist es schwer 
verständlich, daß das U.S. State Department noch 1917 so kurze Schlüssel wie 
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PEKIN und POKES verwendete, hatte doch schon Porta weise CASTUM 
FODERAT LUCRETIA PECTUS ALGAZEL als Schlüssel verwendet; die 
Argentis hatten schon Schlüssel wie FUNDAMENTA EIUS IN MONTIBUS 
SANCTIS und GLORIOSA DICENTUR DE TE QUIA POTENTER AGIS 
benutzt; Vigenere schrieb: „Je länger der Schlüssel ist, desto schwieriger ist 
die Chiffre zu brechen“. 

Für polyalphabetische Chiffrierung ist es erforderlich, daß sie quasi-nicht¬ 
periodisch ist, d.h. daß der Schlüssel, wenn er periodisch ist, nicht wesent¬ 
lich kürzer als die Nachricht ist. Notfalls muß eine Nachricht zerlegt und 
mit wechselndem Schlüssel chiffriert werden, Hitts Mahnung u no message 
is safe in cipher unless the key phrase is comparable in length with the 
message itself” bedeutet nicht, daß die Nachricht — auch bei Verwendung 
von Chiffriermaschinen — so lange wie die Periode des Schlüssels sein darf. 
Sprüche mit mehr als 1000 Zeichen sind stark gefährdet, denn etwa bei der 
M-209 funktionieren die maschinellen Entzifferungstechniken ( pure crypt- 
analysis , s. 22.2.3.1) gut ab einer Spruchlänge von etwa 800 Zeichen. Sprüche 
von 200-300 Zeichen sind normalerweise nicht gefährdet; bei der M-209 war 
die erlaubte maximale Länge 500 Zeichen, bei der ENIGMA waren es 180 
Zeichen, nach Einführung der Rotoren VI - VÖI (8.5.3) erhöht auf 250. 

Der Gebrauch eines individuellen Einmal-Schlüssels bringt andrerseits zusätz¬ 
liche organisatorische Belastungen und erfordert verstärkte Abschirmungs¬ 
und Abwehrmaßnahmen. Für manche Situation scheidet er damit von vorn¬ 
herein aus, so zum Beispiel für abgeschnittene Situationen, in denen kein oder 
kein sicherer Schlüsselnachschub gewährleistet ist, oder in Fällen, in denen 
der Feind einen in seine Hände gefallenen Vorrat an individuellen Schlüsseln 
zu einem ,Funkspiek weiterbenützen könnte. 

11 . 1.9 Überhaupt ist es eine Frage, woran eine Funkstelle erkennt, ob der 
aufgefangene Spruch von ihrem Partner stammt oder von einem Dritten. Ste- 
ganographische Maßnahmen (‘Security Check% etwa darin bestehend, daß 
an bestimmten Stellen des Geheimtextes gewisse Blender eingefügt werden 
oder an bestimmten Stellen des Klartextes gewisse Buchstabierfehler gemacht 
werden (von der ,Handschrift ‘ der Funker ganz abgesehen) ergänzen die in 
10.6 erwähnten kryptographischen Maßnahmen. 

11 . 1.10 Zu guter Letzt ist die banalste und brutalste Art des kryptanalyti- 
schen Angriffs zu erwähnen: die Aneignung von Chiffrierunterlagen durch 
Ausspähung, Diebstahl, Raub oder Kampfmaßnahmen. Wie man sich dage¬ 
gen schützt und wie wenig das oft nützt, liegt auf der Hand. Immerhin — was 
nicht mehr existiert, kann nicht in unbefugte Hände fallen. Dies beherzigte 
schon Karl Weierstraß im Hinblick auf die Briefe von Sonja Kowalewskaya. 
Es gilt in der kryptologischen Sicherheit ganz besonders für individuelle 
Schlüssel; am besten setzt man hinter das Chiffriergerät sogleich den Reißwolf 
(vgl. 8.8.2, Fußnote 12). Geradezu absurd ist deshalb die geplante Mehrfach¬ 
verwendung eines individuellen Schlüssels (vgl. 8.8.7). 
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11.1.11 Es ist eine Binsenweisheit, daß Kampfhandlungen manchmal reiche 
Beute ergeben. Für kryptologisches Material trifft dies in besonderem Maße 
zu: Am 12. 2.1940 wurde das deutsche Unterseeboot U-33 im Firth of Clyde 
von der Royal Navy aufgebracht. Dabei vergaß der sonst sehr zuverlässige 
Maschinist Kumpf drei ihm anvertraute Rotoren ins Meer zu werfen. Zwei 
von ihnen waren für die Briten neu, die Rotoren VI und VII (die Polen hat¬ 
ten die ersten fünf Rotoren aufgeklärt). Der Rotor VHI wurde im August 
1940 ebenfalls erbeutet. Am 26. 4.1940 wurde das deutsche Boot Polares vor 
Älesund aufgebracht. Die Briten fanden zusammengehörige Klar- und Ge¬ 
heimtexte für die Tage vom 23. bis 26., die jedoch noch keinen vollen Einbruch 
in die ENIGMA-Chiffrierung der Kriegsmarine erlaubten. Auch die im Juni 
1940 aus dem Unterseeboot U-13 geholten Dienstvorschriften halfen noch 
nicht weiter. 1941 gelang jedoch der Durchbruch: Am 3. 3.1941 wurden aus 
dem Boot Krebs im Vestfjord vor Norwegen nicht nur zwei schon bekannte 
Rotoren geholt, sondern auch die vollständigen Schlüsselunterlagen für den 
Monat Februar. Am 7. 5.1941 führte ein geplanter Angriff auf das Wetter¬ 
schiff München zu den vollständigen Schlüsselunterlagen für den Monat Juni 
(die für den Monat Mai und die ENIGMA selbst waren versenkt worden) und 
zum „Wetterkurzschlüssel“. Am 9. 5.1941 wurde U-110 westlich Irland durch 
Wasserbomben zum Auftauchen gezwungen und konnte von einer Mannschaft 
des britischen Zerstörers HMS Bulldog geentert werden; die Beute umfaßte 
neben einer (bereits nicht mehr unbekannten) ENIGMA einen kryptanalyti- 
schen Schatz von ENIGMA-Vorschriften, einschließlich der Bigrammtabelle 
BACH (4.1.2) für die Spruchschlüssel-Chiffrierung und das Kurzsignalheft, 
das reichlich für Kompromittierungen sorgte. Am 28. 6.1941 schließlich fand 
nochmals ein geplanter Angriff auf ein Wetterschiff, die Lauenburg , statt; 
zwar gelang es den Deutschen, die ENIGMA zu versenken, aber die Briten 
erbeuteten die vollständigen Schlüsselunterlagen für den Monat Juli. 

Damit hatte Bletchley Park den Durchbruch auch bei der 3-Rotor-ENIGMA 
der Kriegsmarine geschafft; der U-Boot-Funkverkehr konnte von da an re¬ 
gelmäßig, mit Verzögerungen von nur einigen Stunden, verfolgt werden. Dem¬ 
entsprechend verringerten sich die britischen Schiffsverluste. 

Zwar kam ein Rückschlag mit der Einführung der 4-Rotor-ENIGMA am 
1. 2.1942, aber ab Dezember 1942 wurde der U-Boot-Funkverkehr wieder re¬ 
gelmäßig entziffert; die Allierten gewannen im U-Boot-Krieg die Oberhand. 
Ermöglicht wurde das wieder durch eine Kampfhandlung, die eine schier un¬ 
glaubliche Dummheit des von Eberhard Maertens und Ludwig Stummel gelei¬ 
teten Marinenachrichtendienstes ans Licht brachte: Die Aufbringung von U- 
559 im Mittelmeer vor Port Said am 30.10.1942 durch den britischen Zerstö¬ 
rer HMS Petard ergab zunächst eine neue Ausgabe des Kurzsignalhefts und 
die zweite Auflage des Wetterkurzschlüssels und damit wieder reiche Kom- 
promittierungsmÖglichkeiten; dann fand am 13.12.1942 Philip E. Archer bei 
einer geglückten Entzifferung heraus, daß die 4-Rotor-ENIGMA im Verkehr 
mit Küstenstationen, die nur eine 3-Rotor-ENIGMA besaßen, den vierten Ro- 
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tor (die ,Griechenwalze‘) einfach in Nullstellung gebrauchte das erlaubte 
die Kommunikation. Die Dummheit bestand darin, daß die 3-Buchstaben- 
Grundstellung der 3-Rotor-ENIGMA grundsätzlich übereinstimmte mit den 
ersten drei Buchstaben der Grundstellung der 4-Rotor-ENIGMA. Das war 
reinste Bequemlichkeit in der Erarbeitung der Schlüsselunterlagen. War also 
die 3-Rotor-Grundstellung bereits ermittelt, waren nur 26 Versuche not¬ 
wendig, um auch die Grundstellung der Griechenwalze zu finden. Die 4- 
Rotor-ENIGMA war nach dem 13.12.1942 im gesamten 1941 eingeführten 
,Triton‘-Netz der U-Boote, von den Briten SHARK genannt, gebrochen; an 
der völligen Beherrschung des ENIGMA-chiffrierten Verkehrs bis Kriegsende 
änderte auch die Einführung einer zweiten Griechenwalze am 1. 7.1943 nichts 
mehr. 

Aber auch die Briten hatten Verluste hinzunehmen: Der deutsche Hilfskreu¬ 
zer Komet erbeutete 1940 Codebücher und Bigramm-Chiffren der Merchant 
Navy (4.1.2, 4.4.3). Das erfuhren allerdings die Alliierten erst nach dem Krieg 
beim Studium deutscher Archive. 

11 . 1.12 Es müssen nicht immer große Dinge sein, die dem Feind helfen: 
Auch kleinste Einzelheiten, die in seine Hände fallen, können verräterische 
Hinweise von großer Bedeutung geben. 

Im August 1941 fiel das deutsche Unterseeboot U-570 vor Island fast intakt in 
britische Hände. Der zur Aufbewahrung der ENIGMA dienende Holzkasten 
war leer, enthielt aber einen Hinweis auf einen vorsorglich vorgesehenen Platz 
für einen vierten Rotor. Dies (neben anderem Anzeichen in erbeuteten Ma¬ 
nualen) warnte die Briten vor der bevorstehenden Einführung der 4-Rotor- 
ENIGMA (s. 11.2.1). 

Aus einer Fülle von Kleinigkeiten erst setzt sich das Bild zusammen, vor dem 
erfolgreiche Kryptanalysis dauerhaft arbeiten kann, und jede Unterbrechung 
der Kontinuität des Mitlesens schädigt sie für lange Zeit oder für immer. 

11.2 Maximen der Kryptologie 

“The [ENIGMA] machine, as it was, would have been impregnable, 

if it had been used proper ly. ” 

Gordon Welchman 1982 

“No cipher machine alone can do its job proper ly, if used carelessly. 

Düring World War II, carelessness abounded, 
particularly on the Axis side. ” 

Cipher A. Deavours, Louis Kruh 1985 

“Hagelin [C38m] was virtually impregnable when used proper ly, 

as it was by Norway and Sweden.” 

Ralph Erkine 1982 
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Über die Jahrhunderte hinweg hat sich in der Kryptologie ein reicher Schatz 
an Erfahrungen angesammelt — bereits die offene Literatur läßt dies erken¬ 
nen. Aus diesen Erfahrungen entspringen Maximen für die kryptographi- 
sche Arbeit, insbesondere für die Abwehr der unbefugten Entzifferung, die 
auch — oder gerade — in der heutigen Zeit der Materialschlachten nicht un¬ 
berücksichtigt bleiben dürfen. 

11 . 2.1 Zu den urtümlichsten Fähigkeiten des Menschen gehört, daß er sich 
in Sicherheit wiegen kann, daß er sich Mut machen kann und von der Gefahr 
sich nicht schrecken läßt. Daraus ergibt sich aber auch die 

Regel Nr. 1: Man soll den Gegner nicht unterschätzen. 

Bis zum Jahre 1944 schöpften, wie eingangs erwähnt, die deutschen Dienste 
keinen Verdacht, die Alliierten könnten die 3-Rotor-ENIGMA-Chiffrierung 
laufend mitlesen — lediglich die Marine ging am 1.2.1942 im U-Boot-Funk- 
verkehr zur komplizierteren 4-Rotor-ENIGMA über 6 und führte auch drei 
zusätzliche Rotoren ein. Sie machte damit deutlich, daß es notwendig war, 
etwas für ihre Sicherheit zu tun. Der deutsche Generalstab war jedoch sie¬ 
gesgewiß; er war intellektuell nicht darauf vorbereitet, Warnungen ernst¬ 
zunehmen. Aber selbst in der Kriegsmarine saß die Überzeugung von der 
Unüberwindbarkeit tief. Noch 1970 versicherte treuherzig Kapitän zur See 
Heinz Bonatz , ehemaliger Chef des B-Dienstes der Kriegsmarine, daß die 
Alliierten, obwohl ihnen ENIGMAs in die Hände gefallen seien, die deut¬ 
sche Chiffrierung nicht gebrochen hätten; schlimmstenfalls hätten sie einige 
Sprüche entziffert. Nach den Enthüllungen von Gustave Bertrand 1973 und 
Frederick Winterbotham 1974 mußte er sein Buch umschreiben. 

Nicht nur die deutsche Seite war arglos. Die Kryptanalytiker der Vereinig¬ 
ten Staaten konnten sich 1944 einfach nicht vorstellen, daß Hans Rohrbach 
ihre M-138-A Chiffrierung gebrochen hatte — allerdings nur ein kurzfristi¬ 
ger Erfolg, denn zu dieser Zeit führten die Amerikaner neue Chiffrierma¬ 
schinen ein. Darunter war eine Rotormaschine ähnlich der ENIGMA, die 
M-134-C, auch SIGABA genannt. Die Signal Security Agency der U.S. 
Army hatte vergeblich versucht, zur Probe diese Chiffrierung zu brechen. 
Bedeutete das, den Deutschen würde es etwa nicht gelingen? Schließlich 
lasen die Engländer bereits seit Jahren die ENIGMA-Chiffrierung mit. Be¬ 
zeichnenderweise mißtraute Roosevelt , der Intellektuelle unter den alliierten 
Staatsführern, den Beteuerungen der Kryptologen. Wußte er um die tiefver¬ 
wurzelte menschliche Neigung, das Unerwünschte nicht zur Kenntnis nehmen 
zu wollen ? 

Die britische Marine bemerkte erst nach Jahren, daß der B-Dienst der deut¬ 
schen Kriegsmarine einige ihrer Chiffrierungen mitlas. ENIGMA-Entzifferun- 


6 Schon 1930 hatte der Leutnant Henno Lucan , zweiter Nachrichtenoffizier des Schlacht¬ 
schiffes Elsaß, in einer Studie darauf hingewiesen, daß die ENIGMA kryptologisch nicht 
sicher sei. Mit der Einführung des Steckerbrettes schienen jedoch die Bedenken geringer 
geworden zu sein. 
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gen gaben schließlich den unumstößlichen Hinweis, daß zumindest Naval Cy- 
pher No. 3, das hauptsächliche Chiffrierverfahren für die Konvois im Nord¬ 
atlantik (deutscher Deckname ,Frankfurt/) bloßgestellt war. Es wurde durch 
Naval Cypher No. 5 ersetzt, und damit waren die Deutschen, wie sich nach 
dem Krieg herausstellte, von Mitte 1943 an von der Quelle ziemlich abge¬ 
schnitten. Was wäre wohl geschehen, wenn die Deutschen auf ähnliche Weise 
die Unzuverlässigkeit ihrer ENIGMA herausgefunden hätten? 

Vielleicht nichts, wie ein besonders krasser Fall der ständigen Unterschätzung 
der Briten durch Konteradmiral Eberhard Maertens und seinen Stabschef 
Ludwig Stummel zeigt. Er passierte Mitte 1943: Von den Deutschen ent¬ 
zifferte Funksprüche zeigten, daß die Amerikaner zwanzig U-Boote in einem 
engen Planquadrat vermuteten. Tatsächlich befand sich dort das Rudel mit 
dem Decknamen ,Meise? Der Befehlshaber der Untersee-Boote, Großadmiral 

Dönitz (1891-1980), befahl Maertens “. to investigate, as he had done in 

1941. 7 Again Maertens exculpated ENIGMA. The British U-boat Situation 
reports themselves stated that the Allies J information on submarine locations 
was coming from direction-hnding, he said” (nach Kahn). Maertens rettete 
sich also mit einer falschen Erklärung durch das am 2. 2.1943 in einem abge¬ 
schossenen britischen Bomber gefundene, mit Zentimeter-Wellen arbeitende 
Radar-Gerät („Rotterdam-Gerät“). Dönitz mußte sich zufrieden geben. Er 
war aber nie völlig beruhigt, insbesondere als am 12. März 1944 wieder ein 
Vorfall nur mit mangelhafter Chiffriersicherheit oder Verrat erklärt werden 
konnte. Wenigstens fand er bald eine Gelegenheit, Maertens auf ein Heimat¬ 
kommando zu versetzen. Sein Nachfolger, der zum Konteradmiral beförderte 
Stummel , sang das selbe Lied. Insgeheim aber war er gewillt, die Sicherheit 
des U-Boot-Funkverkehrs zu verbessern, und führte für jedes Boot seinen ei¬ 
genen Schlüssel ein — eine halbherzige und, wie sich zeigen sollte (s. 19.4.1), 
sogar gefährliche Maßnahme. 

Den Russen gelang ebenfalls gelegentlich ein Einbruch in die ENIGMA-Chif- 
frierung. So wurde von ihnen das am 30. Juli 1944 versenkte U-250 gehoben 
und daraus eine ENIGMA geborgen. Es gibt geteilte Meinungen darüber, 
wie weit die Russen erfolgreich waren. In einer Besprechung der Funksachbe¬ 
arbeiter im OKL wurde im Januar 1943 fest gestellt: „Es steht mit Sicherheit 
fest, daß den Russen in Einzelfällen die Entzifferung von ENIGMA-Sprüchen 
gelungen ist.“ E.E. Thomas andrerseits sagte 1978, daß er in zehnjährigen 
detaillierten Studien keinen Anhaltspunkt fand, daß die Russen jemals deut¬ 
sche Funksprüche mitgelesen hatten. 

Ob die Russen in die Chiffrierverfahren der U.S.A. eindrangen, wurde oft 
diskutiert, insbesondere nachdem Isaac Don Levine , ein Journalist russischer 
Herkunft, der sich auf russische Angelegenheiten spezialisiert hatte, erklärt 


Dönitz schrieb 1959 in seinen Memoiren, daß der Verdacht, der Feind könnte mitlesen, 
Ende 1941 durch eine gründliche Untersuchung ausgeräumt worden sei. Da war wohl 
bei einigen seiner Leute, wie Admiral Maertens und Kapitän Stummel , der Wunsch der 
Vater des Gedankens. 


7 
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hatte, er sei “convinced by mid-1939 from numerous conversations he had 
with General Walter Krivitsky , the defected head of Soviet military intelli- 
gence for Western Europe, that the Communist cryptanalysts were reading 
American codes” (Kahn). 

11.2.2 Harmlos, aber besonders gefährdet sind in dieser Hinsicht die Erfinder 
von Chiffrierverfahren. “N early ervery inventor of a cypher System has been 
convinced of the unsolvability of his brainchild ”, schreibt Kahn. Ein tragi¬ 
komisches Beispiel bietet Bazehes selbst. Als Beauftragter der französischen 
Regierung und Armee hatte er zahlreiche ihm vorgelegte Erfindungen rui¬ 
niert, indem er probeweise die Chiffrierung brach. Ausgerechnet ihm fiel 
dann selbst ein System ein, das er prompt als absolut sicher bezeichnete. 
Der Marquis de Viaris, dessen Erfindung Bazeries kurz zuvor abgeschmet¬ 
tert hatte, rächte sich: Er gab (vgl. 7.5.3) sogar eine Methode an, um bei 
Kenntnis der Alphabete Bazeries Chiffrierung und damit die ganze Klasse 
von Jefferson bis M-138-A zu brechen (s. 14.3). Hier kommen wir auf die 

Regel Nr. 2: Nur der Kryptanalytiker, wenn überhaupt jemand, 
kann die Sicherheit eines Chiffrierverfahrens beurteilen. 

Diese Erkenntnis, die man bis Porta und Rossignol 8 zurückverfolgen kann, 
formulierte Kerckhoffs 9 1883. Er kritisierte, die kryptanalytische Sicherheit 
eines Verfahrens dadurch demonstrieren zu wollen, daß man abzählt, wieviele 
Jahrhunderte es dauerte, um alle möglichen Kombinationen zu durchlaufen: 
<^Je suis stupefait de voir nos savants et nos professeurs enseigner et recom- 
mander pour les usages de la guerre des systemes dont un dechiffreur tant 
soit peu experimente trouverait certainement la clef en moins d’une heure de 
temps .» 

In der Tat können solche Abzählungen nur eine obere Schranke geben, sie 
betreffen die Zeit, die die ineffizienteste aller kryptanalytischen Methoden, 
die exhaustive Suche (engl, auch c brüte force attack') braucht. 

Auf der ganzen Welt haben deshalb die staatlichen Dienste (und einige nicht¬ 
staatliche) die doppelte Aufgabe, sichere Chiffrierverfahren zu entwerfen und 
angeblich sichere Chiffrierverfahren zu brechen. “ With code breakers and 
code makers all in the same agency, N.S.A. has more expertise in cryptogra- 
phy than any other entity in the country, public or private ” schrieb nicht 
ganz ohne Stolz Stewart A. Baker , ein berühmter Anwalt, der zeitweilig für 
die National Security Agency tätig war. Er hätte besser geschwiegen. 

11.2.3 Kerckhoffs war einer der ersten, der die Kryptographie von einem 
praktischen Standpunkt aus diskutierte. So schreibt er: <^il faut bien distin- 
guer entre un Systeme d’ecriture chiffree imagine pour un echange momen¬ 
tane de lettres entre quelques personnes isolees, et une methode de cryptogra- 
phie destinee ä regier pour un temps illimite la correspondence des differents 


8 Antoine Rossignol, im Dienste Ludwig XIV. Erfinder der zweiteiligen Codebücher. 

9 Auguste Kerckhoffs (1835-1903), flämischer Professor. Verfasser von ^La cryptographie 
militaire », 1883. 
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chefs d’armee entre eux » und erörterte Fragen der Handhabbarkeit, auf die 
wir noch zurückkommen werden. Er unterschied erstmals klar zwischen dem 
eigentlichen Schlüssel und der Verfahrensklasse ( Systeme ) und postulierte 
^11 faut qu’il puisse sans inconvenient tomber entre les mains de Vennemi ». 

Regel Nr. 3: Bei der Beurteilung der kryptanalytischen Sicherheit 
eines Verfahrens muß man damit rechnen, daß dem Gegner die Ver¬ 
fahrensklasse bekannt ist: „Der Feind kennt das benutzte System 44 

(“The enemy knows the System being used ”, Shannon 1949). 

Aus praktischen Gründen kommen in gewissen Situationen gewisse Verfah¬ 
ren vorzugsweise, andere gar nicht zur Verwendung. Insbesondere das zähe 
Beharren des etablierten Apparats läßt gewisse Vorlieben entstehen, die dem 
Gegner nicht verborgen bleiben (,Chiffrierphilosophie‘). Auch lassen schon 
die einfachsten krypt analytischen Tests zuverlässig eine Unterscheidung zwi¬ 
schen monoalphabetischer Substitution, polyalphabetischer Substitution und 
Transposition zu; 10 sogar die Periode einer polyalphabetischen Substitution 
oder die Breite einer Transposition läßt sich dank Kasiski , Kerckhoffs und 
Friedman finden. 

Geräte können im übrigen bei Kampfhandlungen in gegnerische Hände fallen 
oder gestohlen werden. Dies schließt Chiffriermaschinen wie die ENIGMA 
ein; hätte man Kerckhoffs’ Lehre befolgt, hätte die ENIGMA bereits zu 
Beginn des 2. Weltkriegs mindestens zur 5-Rotor-Maschine erweitert werden 
müssen, und die einzelnen Rotoren hätten nicht erst ab 1942 dreimal täglich 
gewechselt werden müssen; vor allem hätte alle paar Monate der ganze Rotor¬ 
satz ausgewechselt werden müssen. Natürlich wäre das kein leichtes gewesen; 
schätzt man doch (vgl. 7.3.3), daß an die 100 000 ENIGMAs insgesamt gebaut 
und verwendet wurden. Aber auch die Amerikaner waren in diesem Punkt 
verletzbar. Ihre auf mittlerer Gefechtsebene verwendete Chiffriermaschine 
M-209, nach der Konstruktion von Hagelin in Lizenz gebaut, war bedeutend 
weniger sicher als die ENIGMA und wurde auch von der italienischen Ma¬ 
rine (C-38m) benutzt. Kein Wunder, daß die Deutschen von 1942 bis 1944 
in Nordafrika und Italien über Angriffszeiten und -ziele der amerikanischen 
Truppen oft genug Bescheid wußten, aber auch die Briten über den Nach¬ 
schub des Feldmarschalls Rommel. 

11.2.4 Das Bestreben des Kryptologen, es dem Gegner nicht zu leicht zu ma¬ 
chen, führt ihn dazu, Komplikationen von bekannten Verfahren zu ersinnen. 
Seit alters her dient dazu die Komposition von Verfahren (9. Kapitel). Zwei¬ 
malige Substitution ist wieder eine Substitution, zweimalige Transposition 
eine Transposition, bringt also nichts. Mehr kann man sich von der Kombi¬ 
nation verschiedener Verfahren versprechen. Codierung mittels Codebüchern 
wird polyalphabetisch , üb er chiffrier t‘ (9.2), monoalphabetische Substitution 

10 Ein von Sacco aufgestelltes Kriterium lautet: Ein kurzer Geheimtext von nicht mehr als, 
sagen wir, 200 Zeichen, in dem alle Alphabet Zeichen Vorkommen, ist höchstwahrschein¬ 
lich polyalphabetisch chiffriert. 
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wird zusätzlich einer Transposition unterworfen, etc. Spezifische kryptanaly- 
tische Methoden sind jedoch oft gegen solche Komplikationen unempfindlich. 
Es gilt ( Givierge 1924) 11 

Regel Nr. 4: Äußerliche Komplikationen können illusorisch sein; 
sie gaukeln dann dem Kryptologen eine trügerische Sicherheit vor. 

Im schlimmsten Fall kann eine illusorische Komplikation sogar die unbefugte 
Entzifferung erleichtern. Wird etwa bei einem VIGENERE-Verfahren in 
bester Absicht die identische Substitution ausgeschlossen, so geht niemals 
ein Buchstabe in sich über. Damit kann aber die Lage eines hinreichend 
langen wahrscheinlichen Wortes^ im Text ziemlich sicher festgestellt werden. 
Die selbe Eigenschaft haben alle echt involutorischen Alphabete. Bei der 
ENIGMA wurde durch eine Reflexion an der letzten Scheibe die Zahl der 
Rotoren, durch die die Signale gingen, verdoppelt; es entstand aber dadurch 
eine echt involutorische Chiffrierung, die den Polen und Briten den in 11.2.1 
erwähnten Einbruch ermöglichten, s. 14.1, 19.6.2. Auch die Zylinder- und 
Streifen-Geräte (7.4.3) von Jefferson und Bazeries , die M-94 und die M-138-A, 
haben die verräterische Eigenschaft “no letter may represent itself”. Dazu 
bemerkte Welchman “It would also have been possible , though more difEcult , 
to have designed an Enigma-like machine with the self-encipherment feature , 
which would have knocked out much of our methodology, including females” . 

11 . 2.5 Schließlich als letzter und vielleicht wichtigster Punkt ist die 
menschliche Schwäche zu vermerken. Eine Chiffrierung ist nicht besser als 
der Kryptosekretär. Die unbefugte Entzifferung lebt von den Chiffrier¬ 
fehlern, wie sie schon in 11.1 besprochen wurden. 

Zuallererst müssen die Kompromittierungen des Schlüssels genannt werden: 

Klartext-Geheimtext-Kompromittierung: die Wiederholung der 
Übertragung im Klartext, 

Geheimtext-Geheimtext-Kompromittierung: die Übertragung 
zweier isologs , d.h. des selben Klartextes, mit zwei verschiedenen 
Schlüsseln chiffriert, 12 

Klartext-Klartext-Kompromittierung: die Übertragung zweier 
verschiedener Klartexte, mit dem selben Schlüssel chiffriert. 

Sodann kommen die Fehler, die Futter für einen Angriff (engl, cribs) liefern: 

der häufige Gebrauch stereotyper Wörter und Wendungen (wofür die 
Sprachen der Diplomaten und Militärs so reichlich Anlaß geben), 
der Gebrauch zu kurzer und leicht erratbarer Schlüsselwörter, 
der Gebrauch eines geläufigen Wortes für ein plötzlich eingetretenes 
Ereignis (wahrscheinliches Wort c ). 


11 Marcel Givierge, französischer General, erfolgreicher Kryptologe im 1. Weltkrieg. Ver¬ 
fasser von Cours de Cryptographie^, Paris 1925. 

12 Insbesondere die in Kapitel 10 besprochenen Öffentlichen Schlüssel laden dazu ein. 
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Schließlich sind die Verstöße gegen elementare Regeln einer guten kryptogra- 
phischen Sprache zu nennen: 

der Nicht gebrauch von Homophonen und Blendern bei Benutzung von 
Codebüchern, 

der Gebrauch von Buchstabenverdoppelungen und -kombinationen wie 
ch und qu , Interpunktionszeichen und vor allem 
der Gebrauch des Wort Zwischenraumes. 

Der ideal zur Chiffrierung vorbereitete Klartext ist orthographisch falsch, 
sprachlich knapp, stilistisch grauenhaft. Welcher Kommandierende Gene¬ 
ral will einen Befehl so abfassen, welcher Botschafter einen Bericht an sein 
Staatsoberhaupt, welcher Geschäftsmann will so einen Brief absenden? Die 
Antwort lautet: Die cipher clerks müssen die schmutzige Arbeit tun. Sogar 
Churchill unterwarf sich den Unbequemlichkeiten der Chiffriersicherheit. 

Erschwerend kommt aber hinzu, daß Botschafter, Generäle und Generaldi¬ 
rektoren eigentlich ihre cipher clerks überwachen sollten, sich aber selten die 
Zeit nehmen. In der Regel fehlt ihnen auch das Verständnis für die Notwen¬ 
digkeit; meist sind sie kryptologisch ignorant. Als Wheatstone ein speziel¬ 
les Bigramm-Substitutions-Verfahren erfand, das später PLAYFAIR genannt 
wurde (4.2), konnte er die Abneigung des Foreign Office gegen komplizierte 
Chiffrierung nicht überwinden (vgl. 2.1.1). Napoleons Generäle chiffrierten 
ihre Nachrichten nur teilweise, und so taten es auch noch 1916 die Italiener. 

Ein altbewährter Grundsatz des Nachrichtenwesens ist deshalb: Die Über¬ 
wachung eigener und verbündeter Einheiten ist mindestens so wichtig wie die 
Beobachtung der gegnerischen. Dazu schrieb Hüttenhain: „Ein Verbündeter, 
der keine sicheren Chiffrierungen verwendet, stellt ein potentielles Risiko dar. 

“A cryptographer’s error is the cryptanalyst’s only hope” , sagt man, und 
diese Hoffnung ist berechtigt. Zu bedenken ist natürlich die nervliche Bela¬ 
stung, unter der ein Chiffrierer im militärischen und diplomatischen Verkehr 
steht. Ein Chiffrierfehler passiert da leicht. Je komplizierter das Verfahren, 
umso mehr verstümmelten Klartext erhält der Dechiffrierer. Die gefährliche 
Wiederholung der gleichen Nachricht (ohne gründliche Umformulierung) mag 
dann unter Zeitdruck unvermeidlich sein. Dementsprechend schrieb Givierge 
(vgl. 11.1.6) ^ Chiffrez bien, ou ne chiffrez pas ^>. Rohrbach formulierte die 

Regel Nr. 5: Bei der Beurteilung der kryptanalytischen Sicherheit 
eines Verfahrens sind Chiffrierfehler und andere Verstöße gegen die 
Chiffrierdisziplin mit einzubeziehen. 

Der gute Kryptologe weiß, daß er sich auf nichts verlassen kann, nicht einmal 
darauf, daß der Feind bei seinen Fehlern bleibt, und ist besonders kritisch 
gegenüber seinen eigenen möglichen Fehlern. Die Überwachung der eigenen 
Chiffriergewohnheiten durch einen advocatus diaboli ist, wie die Erfahrungen 
der Deutschen im 2. Weltkrieg zeigten, unbedingt notwendig. Stuart Milner- 
Barry schrieb “Had it not been for human error, compounded by a single 
design quirk, the Enigma was intrinsically a perfectly secure machine ” . 
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Der design quirk , die anscheinend schlaue Idee (7.3.2) war der durch die 
Einführung der Umkehrscheibe bewirkte echt involutorische Charakter der 
Chiffrierung; eine betriebliche Erleichterung wurde mit einer gefährlichen 
Einbruchsmöglichkeit erkauft. 


11.3 Shannons Maßstäbe 


Claude E. Shannon hat fünf Maßstäbe zusammengestellt, die an eine krypto- 
graphische Verfahrensklasse angelegt werden sollten: 13 


(1) Kryptanalytische Sicherheit 

(2) Schlüssellänge 

(3) Praktische Durchführung der 
Chiffrierung und Dechiffrierung 

(4) Aufblähung des Geheimtextes 

(5) Verschleppung von Chiffrierfehlern 


Wieviel besser ist derFeind dran, 
wenn er eine gewisse Menge 
Material empfangen hat ? 

Wie kurz ist der Schlüssel, 
wie einfach ist er handzuhaben? 

Wieviel Arbeitsaufwand ist 
notwendig ? 

Um wieviel länger ist der 
Geheimtext als der Klartext ? 

Wie weit kann eine Verschleppung 
von Chiffrierfehlern stattfinden? 


Diese Beurteilungsmaßstäbe sind insofern widersprüchlich, als kein System 
bekannt ist (und wohl auch logisch ausgeschlossen ist), das in allen Punk¬ 
ten maximale Anforderungen erfüllt. Andererseits kann man in keinem der 
Punkte ganz anspruchslos sein. Läßt man 1) völlig fallen, so ist selbst Klar¬ 
text zulässig. Läßt man 2) völlig fallen, so kann ein individueller Einmal- 
Schlüssel alle anderen Punkte optimal erfüllen. Läßt man 3) und 4) fallen, so 
kann man unschwer exotische Systeme finden, die allen anderen Ansprüchen 
gerecht werden. Läßt man 5) fallen, so ist mit Verfahren, die gründlich genug 
durchmischen (vgl. 9.4.3), alles andere beliebig gut erreichbar. 

Die moderne Kryptographie neigt, je nach der Situation, den individuellen 
Schlüsseln (die ungehinderten Schlüsselnachschub erfordern) oder den Durch¬ 
mischungsverfahren (die absolut störfreie oder hochgradig störgesicherte 
Nachrichtenverbindungen erfordern) zu. 

Kommunikation von äußerster Geheimhaltungsnotwendigkeit, sagen wir An¬ 
gelegenheiten zwischen Staatsmännern in Notsituationen, kann sehr wohl 
durch individuelle Einmal-Schlüssel abgewickelt werden, da dies normaler¬ 
weise nicht viele Nachrichten erfordert. Aber selbst bei heftigem Nachrich¬ 
tenverkehr kann dies angezeigt sein. Frederick W. Winterbotham , für die 


13 C. E. Shannon, A Mathematical Theory of Cryptography. Interner Bericht, 1. Septem¬ 
ber 1945. Publiziert als: Communication Theory of Secrecy Systems. Bell System 
Technical Journal 28 , 656-715 (October 1949). 
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Sicherheit der unter dem Decknamen ULTRA erzielten britischen Auswer¬ 
tungen des ENIGMA- und des SZ42-Funkverkehrs verantwortlich, bestand 
darauf, daß durch Funk übermitteltes ULTRA-Material mit einem individuel¬ 
len Schlüssel chiffriert wurde, trotz der damit verbundenen Umständlichkeit. 
Dies zeigt, wie kostbar das Material war, und wie hoch die Briten dieses 
Kryptosystem, sicher zu recht, einschätzten. Hätte er sich einem deutschen 
General gegenüber damit durchsetzen können? 

Im kommerziellen Bereich wird mit dem DES-Verfahren seit Jahren ein ty¬ 
pisches Durchmischungsverfahren bevorzugt. Der anhaltenden Kritik an der 
kryptanalytischen Sicherheit des derzeitigen de facto Standards wäre mit ei¬ 
ner Vergrößerung der als zu klein angesehenen Schlüssellänge (9.6.5) einiger 
Wind aus den Segeln genommen. 

11.4 Kryptologie und Grundrechte 

Seit kryptographische Methoden angewendet werden, wird versucht, sie zu 
brechen. Für Amateure, auch wenn sie sich mittelgroßer Maschinen bedie¬ 
nen, dürften die Schwierigkeiten allerdings enorm sein, in eine Chiffrierung, 
die professionellem Standard genügt, einzudringen. Die National Security 
Agency (N.S.A.) der U.S.A. aber wird vermutlich in der Lage sein, eine un¬ 
ter Verdacht geratene kommerzielle Verbindung zu überwachen. Schließlich 
darf man annehmen, daß die Regierung der Vereinigten Staaten von Ame¬ 
rika nicht unter dem Deckmantel eines kommerziellen Nachrichtennetzes ei¬ 
nem gegnerischen Nachrichtendienst — noch gibt es solche — ungehinderte 
Arbeitsmöglichkeiten eröffnen will. Die Zeiten sind vorüber, zu denen Henry 
L. Stimson , Unterstaatssekretär von Präsident Hoover, den Dechiffrierdienst 
des State Departments in die Wüste schicken konnte (1929!) und dazu in 
seiner Autobiographie die Begründung nachschieben konnte u Gentlemen do 
not read each other’s maiF. Nicht einmal Präsident Carter zeigte ähnliche 
moralische Skrupel. Oder ist das vielleicht ein Anzeichen dafür, daß es den 
Amerikanern nicht gelungen ist, bei den Russen mitzulesen? Das Ende des 
Kalten Kriegs bedeutet nur eine Abschwächung, aber keine Beendigung der 
latenten Gefahr, ausgespäht zu werden. 

11 . 4.1 Die Kryptologie ist aber nicht nur eine Angelegenheit der diploma¬ 
tischen und militärischen hoheitlichen Dienste. Man soll sich nicht darüber 
hinwegtäuschen, daß auch der prinzipiell bestehende Interessenkonflikt zwi¬ 
schen dem einzelnen Staatsbürger und dem Staat als Vertreter des gesamten 
Staatsvolks durch die Kryptologie berührt wird: Auf der einen Seite steht 
der unabweisbare Wunsch des einen oder anderen Staatsbürgers (oder einer 
juristischen Person), seine Privatsphäre (oder ihre kommerziellen Interessen) 
durch wirksame Chiffriersysteme zu schützen, auf der anderen Seite steht 
die Wahrung der inneren und äußeren Sicherheit des Staates, der zwecks Er¬ 
langung nachrichtendienstlicher Erkenntnisse auch in chiffrierte Nachrichten 
eindringen will. 
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Den Standpunkt der einen Seite faßte Charles A. Hawkins , Acting Assistant 
Sectretary of Defense, U.S.A. so: “The law enforcement and national security 
Communications argue that if the public’s right to privacy prevails and free 
use of cryptography is allowed, criminals and spies will avoid wire taps and 
other intercepts ”. Schon das Brief-, Post- und Fernmeldegeheimnis ist eben 
nicht absolut und kann unter Umständen, die im einzelnen zu regeln sind (in 
Deutschland sehr restriktiv im Gesetz zu Artikel 10 des Grundgesetzes vom 
13. Aug. 1968) durchbrochen werden — allerdings nicht von Privatpersonen, 
denen dies bei Strafe (in Deutschland §202, §354 StGB) verboten ist. Chif¬ 
frierte Nachrichten werden dabei besonderes Interesse finden — schon der 
Gebrauch kryptologischer Mittel bringt eine Nachricht unter Verdacht. 

Andrerseits wird gerade in den Vereinigten Staaten von Amerika, wo jeder 
Bürger den Besitz einer Feuerwaffe als unverzichtbares Privileg ansieht, auch 
der Besitz der Waffe CRYPTO nicht gerne dem staatlichen Monopol über¬ 
lassen. Europa, mit seiner etwas gelasseneren Tradition, ist zurückhaltender. 

Difhe brachte es auf die kurze Formel: u ...an individuaVs privacy as opposed 
to Government secrecf ’. In Europa haben wir allen Grund, auf der ,Freiheit 
vom Obrigkeitsstaat 6 zu bestehen. Es muß also im Rahmen der jeweiligen 
Staatsverfassung eine Regelung für die staatliche Kryptanalysis gefunden, 
eine Grenzlinie gezogen werden. Dies verlangt schon die Rechtssicherheit. 
Seltsamerweise hängt hier schon bei den Großmächten die Entwicklung der 
Gesetzgebung stark zurück. Es ist insbesondere an den internationalen Han¬ 
del zu denken. Aus der Sicht der U.S.A. gilt für den Verkehr mit kryptologi¬ 
schem Gerät: “Encryption for the purpose of message authentication is wi- 
dely allowed, whereas encryption for the purpose of keeping information pri¬ 
vate raises eyebrows” (David S. Bernstein). Somit mußte, nach Einschätzung 
seines Rechtsanwalts, der U.S.Amerikaner Philip R. Zimmermann eine An¬ 
klage wegen Verletzung der Bestimmungen der International Trafhc in Arms 
Regulations befürchten, weil er 1991 zur freien Verfügbarkeit in das Internet 
das kryptographische System PGP ( Pretty Good Privacy) entweichen ließ 
(9.6.6), das unter die Kriegsmaterial-Liste fällt (“cryptographic devices, as 
well as classified and unclassified data related to cryptographic devices ” , Ca- 
tegory XIII). Die 1993 aufgenommenen Ermittlungen wurden 1996 fallenge¬ 
lassen; aber daß es überhaupt zu solchen kommen konnte, ist unbefriedigend. 

11 . 4.2 Für eine Regelung des Konflikts, die einerseits den Schutz der Pri¬ 
vatsphäre des gesetzestreuen Bürgers und die Vertraulichkeit von Nachrich¬ 
ten, andrerseits die Erfüllung von Aufgaben der Staatsmacht gewährleistet, 
zeichnen sich bereits verschiedene Ansätze ab: 

1) Die Begrenzung der Verwendung von Chiffriersystemen im zivilen Be¬ 
reich durch Genehmigungspflicht im Einzelfall und/oder nach Typen¬ 
mustern kommerzieller Vertreiber (das Verbot gewisser Verfahren allein, 
soweit es nicht der Gebrauch individueller Schlüssel ist, reicht nicht aus, 
da es zu Umgehungen reizt). 
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(2a) Die Einschränkung der kryptanalytischen Sicherheit mittels Verfügbar- 
machung geeigneter Chiffriersysteme im zivilen Bereich. Die für die Ver- 
fügbarmachung eingerichtete Behörde kann gleichzeitig eine dem Staats¬ 
bürger dienliche kryptanalytische Sicherheitsprüfung vornehmen und so 
den Anreiz zur freiwilligen Unterwerfung erhöhen (ein kommerzieller 
Vertreiber kann als ,Marktführer mit Staatshilfe‘) dienen. 

(2b) Wie (2a), aber gekoppelt mit dem Verbot des Gebrauchs anderer Chif¬ 
friersysteme im zivilen Bereich. 

(3) Die Hinterlegungspflicht der vollständigen Kenndaten jedes einzelnen 
im zivilen Bereich verwendeten Chiffriersystems bei einer zur Verschwie¬ 
genheit verpflichteten Behörde. 

Weitere Regelungen sind denkbar, sowie Übergänge zwischen den oben auf¬ 
gezählten. Man muß damit rechnen, daß verschiedene demokratische Staaten 
im Rahmen ihrer Souveränität zu verschiedenen Lösungen greifen werden. So 
war in Frankreich lange Zeit eine rigorose Regelung nach (1) in Kraft, die man 
aber als undemokratisch bezeichnen könnte, und die Niederlande liebäugelten 
mit einer solchen. Im Januar 1999 hob die französische Regierung die Ge¬ 
nehmigungspflicht, die ohnehin unterlaufen wurde, auf. 

In Deutschland besteht seit längerem eine Tendenz zur Regelung nach (2) 
(Bundesamt für Sicherheit in der Informationstechnik, BSI) die liberale 
Grundhaltung wurde im Juni 1999 vom Bundeskabinett bestätigt. 

Welche Regelung die Regierung Großbritanniens sucht, ist immer noch nicht 
abzusehen. In den U.S.A. wurde schon 1993 eine Regelung nach (3) von der 
Clinton-Administration ins Gespräch gebracht fkey escrow system\ s.u.). 
Auf lautstarke Proteste hin wurde eine Art Freiwilligkeit der Unterwerfung 
in Aussicht gestellt, die etwas in die Richtung von (2a) geht. Noch im Jahr 
1999 war in den U.S.A. der Kampf nicht entschieden. 

Für die Europäische Union, sofern sie in dieser Frage überhaupt zu Ergebnis¬ 
sen kommt, scheiden wohl (1) wie (3) aus. Anfang Dezember 1998 erfolgte 
im Rahmen des Wassenaar-Abkommens (s. 11.4.6) eine gewisse Richtlinie 
der Exportkontrolle auf einer mittleren, liberalen Linie. Insbesondere sollen 
Geräte mit 64-Bit-Spruchschlüsseln frei bleiben. 

Im übrigen kann man sich vorstellen, welches Durcheinander solcherart ver¬ 
schiedene Regelungen insbesondere für supranationale kommerzielle Anbieter 
schaffen würden. Der grenzüberschreitende Verkehr ist schon schwierig ge¬ 
nug: “ International use of encryption plunges the user headßrst into legal 
morass of Import , export and privacy regulations that are often obscure and 
sometimes contradictory” (David S. Bernstein). Wer mit seinem laptop Com¬ 
puter auf Reisen ging, machte sich möglicherweise strafbar. Martha Harris , 
Deputy Assistant Secretary of State for Political-Military Affairs, stellte am 
4. Februar 1994 fest: “We will no longer require that U.S. citizens obtain an 
export license prior to taking encryption products out of the U.S. temporarily 
for their own personal use. In the past , this requirement caused delays and 
inconvenience for business travellers Liberalität ist auf dem Vormarsch. 
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11.4.3 Der 1994 verabschiedete Escrowed Encryption Standard 14 umfaßt 
den Chiffrieralgorithmus SKIPJACK (9.6.5) innerhalb des CLIPPER-Chip. 
Hinterlegt werden zwei chip unique key components , die erst auf richterli¬ 
che Anordnung durch eine binäre Addition den chip uni que key ergeben. 
Ein zwischen zwei Partnern zu verabredender, für Chiffrieren und Dechif¬ 
frieren benutzter 80-Bit-Spruchschlüssel ( Session key) KS dient wie Co bei 
DES als Initialisierungsblock, er wird je nach dem Betriebsmodus monoal¬ 
phabetisch oder zur Verkettung benutzt. In einem Law Enforcement Access 
Field (LEAF) wird in individuell codierter Form dieser Spruchschlüssel abge¬ 
speichert; durch den chip unique key erhält man den echten Spruchschlüssel 
zurück. Eine Abhör- oder Abschreibvorrichtung, die den chip unique key be¬ 
kommen hat, kann demnach jede mit einem neuen Spruchschlüssel startende 
Verbindung laufend mithören oder -schreiben, da auch LEAF (zusammen 
mit einem 32-Bit-Chipidentifikator und einer 16-Bit-Quersumme) übertragen 
wird, sofern diese Übertragung korrekt ist. 

Der SKIPJACK-Algorithmus selbst — er fand übrigens außerhalb des staat¬ 
lichen Bereichs, für den er vor geschrieben war, wenig Verwendung — wurde 
(anders als DES) von der Behörde zunächst geheimgehalten, weil „andernfalls 
die Funktion des LEAF unterlaufen werden könnte“ — die Chiffriersicherheit 
selbst erforderte diese Geheimhaltung nicht. Der Algorithmus war ferner ein¬ 
gestuft als SECRET - NOT RELEASABLE TO FOREIGN NATIONALS 
und auch damit als internationaler de facto Standard ungeeignet. 1998 wur¬ 
den diese Beschränkungen endlich aufgehoben. 

Bei Licht betrachtet, ist die Technik des Law Enforcement Access Field ziem¬ 
lich primitiv. Es liegt auf der Übertragungsstrecke offen; auch nichtautori- 
sierte Entzifferer könnten sich daran versuchen. Dorothy E. Denning hat 
einige der praktischen Fragen, die sich ergeben, untersucht; Silvio Micali 
(‘Fair Cryptosystems’, U.S. Patent 5 276 737 vom 4. Januar 1994) hat weit¬ 
reichende Lösungsvorschläge gemacht für ein kryptographisches System, das 
weder von Kriminellen noch von der Staatsmacht mißbraucht werden kann. 
Für interaktive Realzeitsysteme haben Thomas Beth und andere 1994 vor¬ 
geschlagen, die Staatsschutzbehörde zu einem aktiven Teilnehmer in dem 
Schlüsselvereinbarungs-Protokoll zwischen zwei Partnern zu machen, ohne 
daß ihre Einschaltung von den Partnern bemerkt werden kann. Die Neu¬ 
heit dieses Ansatzes liegt darin, daß im Falle einer Nichteinschaltung der 
überwachenden Stelle der Netzwerkbetreiber dies beweisen kann und damit 
ein Mißbrauch durch eine totalitäre Staatsmacht auszuschließen ist. 

11.4.4 Das Mißtrauen des einen oder anderen Staatsbürgers und der ju¬ 
ristischen Personen gegenüber der Staatsgewalt wird nicht gerade abgebaut 
durch die Erfahrungen, die er mit dieser macht, etwa in den U.S.A. mit 
tatsächlichen oder unterstellten Eingriffen der National Security Agency in 


14 Escrowed Encryption Standard (EES), Federal Information Processing Standards Pub- 
lication (FIPS PUB) 185, Feb. 9, 1994. 
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die Entwicklung von Chiffrieralgorithmen, beginnend mit DES. Der N.S.A. 
die Verantwortung für die Genehmigung und Empfehlung von Chiffrieralgo¬ 
rithmen zu geben, wird mancherorts als Farce empfunden (“ like putting the 
fox in Charge of guarding the hen house ”, Philip Zimmerman, PGP User’s 
Guide, 1994). 

Bereits 1957 gab es Gerüchte über enge Kontakte 
und den Verdacht von Absprachen zwischen Wil¬ 
liam F. Friedman und Boris Hagelin , die sich ja aus 
Kriegszeiten kannten (8.5.2). 

Damit ist der Dritte im Bunde genannt, der zwar 
außerhalb der Staatsrechtsphilosophie einer Balance 
zwischen den verfassungsmäßigen Rechten des Bür¬ 
gers und der Staatsgewalt steht, aber angesichts sei¬ 
ner wirtschaftlichen Bedeutung nicht übergangen 
werden kann: der kommerzielle Anbieter. Sein In¬ 
teresse ist es, sich mit dem Staatsbürger (und dem 
Unternehmer) als potentiellem Kunden ebenso gut zu stellen wie mit dem 
Staat als Uberwachungsorgan. Günstigstenfalls ist der kommerzielle Anbie¬ 
ter ein ehrlicher Makler. 

Erschwert wird diese Rolle allerdings durch eine gewisse Unehrlichkeit, die 
die Staatsbehörden dem kommerziellen Anbieter aufzwingen, indem sie ihm 
bei Auslandsgeschäften Auflagen machen, die bei Inlandsgeschäften zwischen 
ihm und ebendiesem Staat als Geschäftspartner nicht gelten. Mit freiem 
Welthandel steht das kaum im Einklang. 

11.4.5 Man wird den Eindruck nicht los, daß die Kryptologie zu Beginn 
des 3. Jahrtausends immer noch gern in Black Chambers gehalten wird. Die 
Staatsgewalt ist insofern undurchschaubar und klammert sich hier und da 
noch an Reste von Omnipotenz. Aber sie kann diese aus Gründen des Gleich¬ 
gewichts auch nicht gänzlich aufgeben: Nicht nur bei den Großmächten, son¬ 
dern auch bei den Mittelmächten wird es sich auf längere Sicht als notwendig 
erweisen, daß sich private und kommerzielle Kryptographie und Kryptana- 
lyse mit den Erfordernissen der staatlichen Macht abfinden. Großbritannien, 
ein klassisches Land der Demokratie, gibt hier ein Beispiel. Wer seine eigene 
Sicherheit nicht beschützt, gibt auch die Sicherheit seiner Freunde preis. An¬ 
dererseits lassen sich die Ansprüche der kommerziellen Seite nicht abtun. 

Es wäre in den U.S.A. politisch kaum akzeptabel, wenn Patentanmeldungen 
für kryptographische Systeme durch den Invention Secrecy Act von 1940 oder 
den National Security Act von 1947 generell blockiert werden könnten. Glei¬ 
chermaßen ist die Empfindlichkeit über den Schutz privater oder persönlicher 
Daten ein nicht zu übersehender politischer Faktor. In den U.S.A. konnte sich 
die Politik immer noch nicht über die Durchführung der inländischen Kon¬ 
trolle entscheiden, wie sich durch das Aufsehen zeigte, das FIDNET (Federal 
Intrusion Detection Network) und CESA (Cyberspace Electronic Security 
Act) im Jahre 1999 erreichten. 



Boris Hagelin 
(1892-1983) 
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11 . 4.6 Die fortschreitende Liberalisierung wurde 1997 durch internationale 
Organisationen wie OECD und EU in Gang gebracht. Im Dezember 1998 
wurden im Zuge des Wassenaar-Abkommens (Wassenaar Arrangement on 
Export Controls for Conventional Arms and Dual-Use Goods and Technolo¬ 
gies ), dem 28 Staaten angehören, einige Richtlinien für einen ziemlich libera¬ 
len Export kryptographischer Güter erzielt. Insbesondere wurde der Export 
von 64-Bit-Chiffrieralgorithmen aus der staatlichen Überwachung durch die 
Mitgliedsstaaten des Wassenaar-Abkommens herausgenommen, 

Am 16. September 1999 kündigte dann die Regierung der Vereinigten Staaten 
ihre Absicht weiterer Liberalisierung an, u allowing the export and reexport 
of any encryption commodity or Software to individuals, commercial firms, 
and other non-government end-users in all destinations ” . Die neue Politik 
soll die Regeln für den U.S. Export von kryptographischen Gütern verein¬ 
fachen und beruht auf drei Grundsätzen: “a technical review of encryption 
products in advance of sale, a streamlined post-export reporting System, and 
a process that permits the government to review exports of strong encryp¬ 
tion to foreign governments ” Das lindert die Schmerzen der amerikanischen 
Wirtschaft. u Restrictions on terrorist-supporting States, their nationals and 
other sanctioned entities are not changed by this rule .” Das mag das U.S. 
Department of Justice beruhigen. Insgesamt erwartet die U.S. Regierung daß 
“the full ränge of national interests continue to be served by this new policy: 
supporting law enforcement and national security, protecting privacy, and 
promoting electronic commerce”. 

Auf die vielversprechende Ankündigung folgten Taten. Am 12. Januar 2000 
veröffentlichte das Bureau of Export Administration (BXA) das ungeduldig 
erwartete interim ßnal. Firmen können nun uneingeschränkt Quell-Code zum 
internen Gebrauch auch über die Grenze weitergeben, lediglich eine Kopie ist 
an das BXA zu übersenden. Das Betriebssystem Windows 2000 kann damit 
auch außerhalb der U.S.A. mit 128-Bit-Schlüssellänge ausgeliefert werden. 
Nicht nur Phil Zimmermann, sondern die ganze U.S. Wirtschaft reagierte er¬ 
leichtert. Europäische Produzenten von Krypto-Software sehen ihre bisherige 
starke Position nicht ernsthaft gefährdet und setzen auf Partnerschaft. 

Kritiker der neuen Regelung sehen immer noch „ernste Defizite“ und meinen, 
„immer noch habe der Staat überall die Finger im Spiel“ (Holger Bleich). 
Insgesamt zeichnet sich derzeit aber ein Sieg der Vernunft ab. 

11 . 4.7 Nach wie vor ist zu hoffen daß auch langfristig die Vernunft den Sieg 
davontragen nwird. Ziel der wissenschaftlichen Arbeit an kryptographischen 
Systemen für private und kommerzielle Kanäle muß daher weiterhin sein, un¬ 
ter realistischen Annahmen über die von Laien zu erwartenden Disziplinlosig¬ 
keiten untere Schranken für die Komplexität der unbefugten Entzifferung auf 
der Basis eines genau definierten Maschinentyps zu gewinnen. Das wird nicht 
leicht sein, ist aber eine lohnende Aufgabe, um dem Benutzer eines krypto¬ 
graphischen Systems ein garantiertes Maß an kryptanalytischer Sicherheit zu 
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geben. Offener Quell-Code ist dabei ein wesentliches Erfordernis, denn je¬ 
des Kryptosystem mit einem unpublizierten Algorithmus kann unerfreuliche 
Überraschungen in sich bergen. 




Der Diskos von Phaistos , eine kretisch-minoische Tonscheibe Farbtafel A 
(abgebildet ist die Seite A) von etwa 16 cm Durchmesser aus 
dem 17. Jhdt. v. Chr., ist in klarer Worttrennung mit Bild¬ 
zeichen bedeckt. Eine überzeugende, allgemein akzeptierte 
Entzifferung scheint bisher nicht geglückt zu sein. 

„Dem vereinzelten und kurzen Texte ist ohne weitere An¬ 
haltspunkte kein Sinn abzugewinnen“ (J. Friedrich , 1954). 




Farbtafel B Zwei Chiffrierscheiben, vermutlich aus dem 18./19. Jhdt. 

Die obere Scheibe enthält im Stil eines Nomenklators klar¬ 
textseitig neben den Alphabetzeichen und einzelnen Silben 
auch häufig vorkommende Zeichengruppen; geheimtextsei¬ 
tig werden zweistellige Zahlen gebraucht. 




‘Cryptograph’ von Charles Wheatstone , Gerät in Uhren- Farbtafel C 
form, auf der Pariser Weltausstellung 1867 erstmals gezeigt. 
Polyalphabetisches Chiffriergerät; der Zeiger wird im Uhr¬ 
zeigersinn auf den jeweils nächsten zu chiffrierenden Klar¬ 
textbuchstaben weiterbewegt, dadurch wird die Scheibe mit 
den Chiffratbuchstaben Zug um Zug verdreht. 




Farbtafel D Chiffriergerät M-94 der U.S. Army in zylindrischer Form mit 
25 gravierten Aluminiumscheiben von 35 mm Durchmesser. 
Die M-94 geht auf die Vorbilder von Jefferson und Bazeries 
zurück. Sie wurde 1922 unter dem Einfluß von Friedman für 
den Truppendienst eingeführt und war bis etwa 1942 in der 
amerikanischen Armee weithin in Gebrauch. 





Schiebergerät M-138-T4, eine frühe Variante des weitver- Farbtafel E 
breiteten M-138-A, von der U.S. Army und der U.S. Navy im 
2. Weltkrieg benutzt, auf einem Vorschlag von Parker Hitt 
1914 beruhend. Die 25 entfernbaren Kartonstreifen waren 
numeriert und wurden in einer vorher verabredeten Reihen¬ 
folge gebraucht. Die Chiffrierung war kryptologisch der der 
M-94 äquivalent. 




















































































Farbtafel F Chiffriermaschine KRYHA, Alexander von Kryha , Berlin- 
Charlottenburg, um 1926. Polyalphabetische Chiffrierma¬ 
schine mit festem periodischen Schlüssel der Länge 442. 
Eine unregelmäßige Fortschaltung der Chiffratscheibe ge¬ 
schieht durch ein Rad mit variierender Zähnezahl. Trotz 
ihrer kryptologischen Mängel wurde die hübsch aussehende 
Maschine in viele Länder verkauft. 











Chiffriermaschine ‘Hagelin Cryptographer’ C-36, Aktiebo- Farbtafel G 
läget Cryptoteknik, Stockholm, 1936. Die Chiffrierung ist 
involutorisch (BEAUFORT-Substitutionen) und geschieht 
durch den von Boris Hagelin erfundenen Stangenkorb; die 
unregelmäßige Fortschaltung basiert auf der Verwendung 
von Schlüsselrädern unterschiedlicher Teilung, nämlich mit 
17-, 19-, 21-, 23- und 25-Teilung, was eine Periodenlänge 
(‘Schlüssellänge’) von 3 900 225 ergibt. Für rein mechanisch 
arbeitende Maschinen bedeutete dies eine Pionierleistung. 





Farbtafel H M-209, eine verbesserte C-36, wurde im 2. Weltkrieg bei 
Smith-Corona in Lizenz für die U.S. Army in 140000 Stück 
gebaut. Durch zusätzliches 6. Schlüsselrad mit 26-Teilung 
stieg die Periode auf 101405 950. Wenn die Kurbel gedreht 
wurde, verschoben die Schlüsselräder die Stangen in dem 
zylindrischen Korb; dadurch wurde das Druckrad auf den 
chiffrierten Buchstaben eingestellt. 







Rotor-Chiffriermaschine ENIGMA nach der Erfindung von Farbtafel I 
Arthur Scherbius 1919, mit Glühlampenanzeige; 4-Rotoren- 
Ausführung M4 für die Marine, 1944. Rotor-Chiffrierma¬ 
schine mit dünner Umkehrwalze und insgesamt zehn Roto¬ 
ren. Drei der vier Rotoren in der Maschine konnten aus den 
acht Rotoren I bis VHI ausgewählt werden, die vierte (ganz 
links) aus den sogenannten ‘Griechenwalzen 5 ß und 7 . Die 
Einführung der 4-Rotoren-ENIGMA unterband das Mit¬ 
lesen durch die Briten vom 1. 2.1942 bis Dezember 1942. 




Farbtafel K Rotoren der ENIGMA: Die innere Verschaltung hat 26 gal¬ 
vanische Verbindungen der 26 Kontakte auf der einen Seite 
mit ebenso vielen auf der anderen Seite. 

Oben: Rotor I mit sichtbarem Einstellring. 

Unten: Rotor VIH mit zwei Nuten. 




Die britische Chiffriermaschine TYPEX war eine wesentlich Farbtafel L 
verbesserte Kopie der Wehrmachts-ENIGMA mit drei Roto¬ 
ren; sie hatte zwei zusätzliche, nicht fortgeschaltete Rotoren, 
die ein Eindringen in die Chiffrierung wesentlich erschwer¬ 
ten. TYPEX war in britischen militärischen Nachrichten¬ 
verbindungen eingesetzt, diente aber auch zur mechanischen 
Entzifferung deutscher ENIGMA-Sprüche, deren Schlüssel 
aufgedeckt war. Die Abbildung zeigt eine TYPEX Mark 
III, Serial No. 376. 





















Chiffrierfernschreibmaschine „Schlüsselzusatz“ Lorenz SZ 42, Farbtafel N 
C. Lorenz AG, Berlin, um 1943. Chiffriermaschine für Fern¬ 
schreibzeichen, britischer Deckname ‘Tunny’. Eingesetzt in 
der Heeresführung bis hinab zu Armeehauptquartieren. Zwölf 
Walzen mit 43-, 47-, 51-, 53-, 59-, 37-, 61-, 41-, 31-, 29-, 

26-, 23-Teilung und unregelmäßig verteilten Stiften erzeu¬ 
gen einen Schlüssel mit hoher Periode. Fünf Walzenpaare 
steuern Vernam-Substitutionen des 5-Bit-Codes; zwei Wal¬ 
zen dienen lediglich der unregelmäßigen Fortschaltung. Die 
Chiffrierung der SZ42 wurde von den Briten unter Einsatz 
der COLOSSUS-Anlagen gebrochen, die zu den ersten elek¬ 
tronischen Großrechenanlagen zählen. 


Farbtafel M Die Uhr box (wie sie auf alliierter Seite genannt wurde) 
diente dazu, die Steckerbrett-Verbindungen der ENIGMA 
durch eine nicht-involutorische Substitution zu ersetzen, die 
außerdem durch Drehen des Einstellknopfes auf eine von 
40 Positionen leicht geändert werden konnte (vermutlich 
jede Stunde). Trotz der zusätzlichen Sicherheit, die sie bot, 
wurde sie wenig eingesetzt. 





Individueller Schlüssel für einmaligen Gebrauch. Das Blatt 
aus einem Abreißblock ist klein genug, um in die Handfläche 
zu passen. Die verwendeten Ziffern-Typen sind von der Art, 
wie sie auf russischen Schreibmaschinen Vorkommen. 


Farbtafel O 






‘Crypto board’, gefertigt von der Crypto AG, Zug, Schweiz Farbtafel P 
(1996). Kryptosystem zur Verwendung bei einzelnen Rech¬ 
nern und in Rechnernetzen zur Geheimhaltung und Siche¬ 
rung gegen Fälschung von Daten, mit Zugangskontrolle und 
Schutz gegen Computer-Viren. Die sehr zuverlässige hard- 
ware des Kryptosystems hat eine sehr hohe mittlere fehler¬ 
freie Zeit und kann ohne Batterien gelagert werden. 









Farbtafel Q CRAY-1 S (1979). Die Höchstgeschwindigkeitsrechner CRAY 
entstanden aus der von Seymour R. Cray (1928-1996) für 
kryptanalytische Aufgaben entworfenen, 1976 betriebsberei¬ 
ten CRAY-1, die 8 Mio. $ teuer war. Zivile Versionen mit ge¬ 
wissen Beschränkungen seit 1979 im Handel; Weiterentwick¬ 
lung zu leistungsfähigsten Universalrechnern, mit parallel ar¬ 
beitenden Funktionseinheiten und überschnellen speziell ge¬ 
kühlten Schaltkreisen, die eine sehr kompakte Technologie er¬ 
fordern: CRAY-1 S, CRAY-2, CRAY X-MP, CRAY Y-MP, 
CRAY C90, CRAY J90 bis hin zu CRAY T90, deren Konfigu¬ 
ration T932 mit 32 Prozessoren ausgestattet ist. Eine massiv 
parallele Linie wurde mit dem Modell CRAY T3D eröffnet, 
das nächste Modell CRAY T3E (Juli 1996) hat bis zu 2048 
flüssigkeitsgekühlte Prozessorchips des Typs DEC Alpha EV-5 
(21164) mit 600 Megaflops — in der Spitze eine Rechenlei¬ 
stung von 1.2 Teraflops (1998: T3E-1200E 2.4 Teraflops). 
















Teil II: Kryptanalyse 


<^Il ne faut alors ni se buter, 
ni se rebuter, 
et faire comme en politique: 
changer son fusil d’epaule .» 

(„Man darf sich daher weder verrennen 
noch abschrecken lassen 
und muß es machen wie in der Politik: 

umschwenken.“) 

Etienne Bazeries, 1901 



Etienne Bazeries 
(1846-1931) 



Die Maschinerie 


•mssm?- 

L \A i 
\. H W//7T-'e 


Zyklometer 
' (Polen) 



Bombe Colossus 

(England) (England) 


Charles Babbage bekennt, daß ihn manchmal die Entzifferung in den Bann 
geschlagen und über Gebühr beschäftigt hat. Bazenes , Zitat warnt mit galli¬ 
schem Charme davor, die Systematik der in diesem zweiten Teil behandelten 
kryptanalytischen Methoden zu überschätzen. 1 

Von der einfachen, aber im allgemeinen nicht zu bewältigenden Ausschöp¬ 
fung abgesehen, beruhen sie auf inneren und auch durch raffinierte Chif¬ 
frierung nur schwer ausrott baren Eigenschaften der Sprache. Für eine sy¬ 
stematische Behandlung werden die Invarianten der kryptologischen Verfah¬ 
ren festgestellt und herangezogen. Mustererkennung einerseits, Häufigkeits¬ 
erkennung andererseits liefert Invarianten monoalphabetischer (monographi¬ 
scher oder polygraphischer) Chiffrierungen. Aber selbst polyalphabetische 
Chiffrierung läßt einen gewissen sprachlich-statistischen Parameter, genannt 
Kappa, invariant. Damit gelingt die Zurückführung polyalphabetischer Chif¬ 
frierung mit nicht zu langer Periode auf monoalphabetische Chiffrierung. Die 
Transposition fällt ganz aus diesem methodischen Rahmen, hier werden Kon¬ 
takthäufigkeiten herangezogen. 

Nach William F. Friedman verlangt Kryptanalyse die Feststellung der ver¬ 
wendeten Sprache, des allgemeinen Kryptosystems, des spezifischen Schlüs¬ 
sels und des Klartextes; gewöhnlich in dieser Reihenfolge. Dabei kommt es 
sehr darauf an, die richtigen Mittel an der richtigen Stelle in der richtigen 
Weise einzusetzen. Ein anonymer britischer Offizier drückte es 1918 so aus: 
“The would-be solver will need a dogged obstinacy, which however must not 
render him incapable of discarding a supposed ciue.” 

Es muß auch darauf hingewiesen werden, daß aktives kryptanalytisches Ar¬ 
beiten sowohl gegen staatliche als auch gegen kommerzielle Nachrichtenwege 
in der Regel mit Strafe bedroht ist. Da aber nur aus der Kenntnis kryptana¬ 
lytischer Methoden Rückschlüsse auf die sichere Verwendung kryptographi- 
scher Verfahren, insbesondere zur Vermeidung einer complication illusoire , 
zu ziehen sind, werden wir uns aus wissenschaftlichen Gründen ungestraft 
mit der Kryptanalyse beschäftigen dürfen. 


i 


Die erste systematische Sammlung von Faustregeln zur Kryptanalyse verfaßte 1474 in 
Pavia Cicco Simonetta, Sekretär der Herzoge von Sforza. 
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Kryptanalyse ist häufig nicht nur eine Frage des Materialaufwands, sondern 
auch der verfügbaren Zeit. Viele Nachrichten sind, wenn sie erst veraltet 
sind, nichts mehr wert, und auf manchen Gebieten veralten Nachrichten sehr 
schnell. Dazu Patrick Beesly (Very special intelligence, London 1977): “It 
should, however, be emphasized that cryptanalysis must be swift to be of 
real operational use. Und W. F. Friedman stellte fest: u The best that can be 
expected is that the degree of security be great enough to delay solution by 
the enemy for such a length of time that when the solution is ßnally reached, 
the information thus obtained has lost all its ... va lue. 1 ' 

Auch Chiffrierhilfsmittel sind nur so lange von unmittelbarem Wert, als sie in 
Gebrauch sind. Auf deutscher Seite wurden im 1. Weltkrieg 1917 die für die 
vorderste Front bestimmten Codebücher alle vierzehn Tage gewechselt, und 
1918 eine Überschlüsselungstafel („Geheimklappe“) jeden Tag. Da konnte 
auch mal ein Codebuch oder eine Überschlüsselungstafel in falsche Hände 
fallen. Trotzdem, es verraten auch veraltete Chiffrierhilfsmittel zu viel, als 
daß man mit ihnen sorglos umgehen könnte. 

Die Anforderungen an eine geglückte unbefugte Entzifferung schwanken je 
nach der Situation, von der Rekonstruktion von 90% des Klartextes ( Meyer- 
Matyas) bis zur vollständigen Bloßlegung des Chiffriersystems und der 
Schlüssel (Rohrbach). 

Kryptanalyse baut zu einem guten Teil auf Chiffrierfehlern auf. Daß der un¬ 
befugte Entzifferer stets auf solche hoffen kann, hat Luigi Sacco sarkastisch so 
formuliert : u Les Chiffreurs se chargent suffisamment d’aider Vennemi .” [Die 
Chiffrierer bemühen sich hinreichend, dem Feind zu helfen.] 

Asymmetrische Chiffriersysteme, die öffentliche Chiffrierschlüssel (public 
itey”) erlauben, signalisieren eine Öffnung der Kryptographie ( LL public crypto¬ 
graphy ’)> die auch eine Öffnung der Kryptanalyse nach sich zieht — 
wenn auch die kryptologischen Dienste der Staaten diese Seite der public 
cryptography eher mit Zurückhaltung sehen. Daß sie sich nicht zu sehr der 
Volksaufklärung verpflichtet sehen, ist verständlich. Im Hinblick auf die Be¬ 
triebsmodi von DES (9.6.3) haben Umfragen, wie Philip Zimmermann berich¬ 
tet, ergeben, daß the authors of a number of [these encryption packages] 
say theyWe never heard of CBC or CFB mode. The very fact that they La¬ 
ven Ü even learned enough cryptography to know these elementary concepts 
is not reassuring .” Die Kryptanalyse ist nicht in Gefahr, auszutrocknen. 

Kryptanalyse ist auch bereits auf dem freien Markt. Die Firma Access Data 
Recovery (87 East 600 South, Orem, Utah 84058, USA) und sie ist nicht 
die einzige verkauft für einige hundert Dollar ein von Eric Thompson ent¬ 
wickeltes Programm, das die eingebauten Chiffrierungen von WordPerfect, 
Lotus 1-2-3, MS Excel, Symphony, Quattro Pro, Paradox und MS Word 
2.0 überwindet, und zwar nicht durch exhaustives Erraten von Paßwörtern, 
sondern durch echt kryptanalytische Methoden. Manche Leute kaufen oder 
benutzen es, wenn sie ihr Paßwort vergessen haben, und auch Polizeibehörden 
profitieren davon, wenn sie beschlagnahmte Daten lesen wollen. 



12 Ausschöpfung 

der kombinatorischen Komplexität 


Die Mächtigkeit eines Verfahrens, d.h. einer Klasse von Chiffrierungen — ihr 
entspricht die Anzahl von dazugehörigen Schlüsseln — ist ein Maß für die 
kombinatorische Komplexität der Chiffrierung. Für die Sicherheit ge¬ 
gen unbefugte Entschlüsselung gibt sie eine obere Schranke an, sie mißt 
den Arbeitsaufwand eines Exhaustionsverfahrens bei bekanntem Verfahren 
( Shannons Maxime: „Der Feind kennt das benutzte System“). 

Wir werden häufig von der Stirling’schen Formel 1 

n\ x (n/e)”vÄ • (1 + ^ + ^h) = >Ä(n/e)" + * • (1 + ^ + 5 ^) 
mit den Zahlwerten 

= 2.506 628 275... , 
e = 2.718281828... , 

V2ne — 4.132 731353... 

Gebrauch machen bzw. von ihrer logarithmischen Form 2 

ldn! x (n + ±) (ldn - lde) + ^(ld 7 r + lde + 1 ) + ^ 

mit den Zahlwerten 

lde = 1.442 695 041... , 

i (ld Tr + ld e + 1) = 2.047 095 586... . 

\V\ , die Mächtigkeit des Alphabets, wird mit N abgekürzt. 

Z bezeichnet die Mächtigkeit des Verfahrens. 

Im folgenden sind für einige Verfahren die Werte von Z als Maße für kom¬ 
binatorischen Komplexitäten zusammengestellt, 
ld Z, die Information des Verfahrens S , wird in [bit] gemessen. 

10 logZ wird in [ban] gemessen, eine von Turing eingeführte Einheit, mit der 
praktischen Einheit 1 [deciban] = O.l/ 10 log 2 [bit] « 0.332 [bit]. 


1 26! = 403 291 461 126 605 635 584 000 000 - 2 23 • 3 10 • 5 6 • 7 3 • ll 2 • 13 2 • 17 • 19 • 23 

2 Idx bezeichnet den Logarithmus zur Basis 2: ld x = ln x/ ln 2 = log xj log 2 . 
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12.1 Monoalphabetische einfache Chiffrierungen 


Einfache Substitutionen sind monographisch. Wenn wir Homophone und 
Blender außer acht lassen, können uns auf Permutationen (3.2) beschränken. 

12.1.1 Einfache Substitutionen allgemein (Spezialfall n = 1 von 12.2.1) 

12.1.1.1 (Einfache Substitutionen) 

Permutationen V -<—^ V haben die selbe Mächtigkeit wie eineindeutige 
Abbildungen (homophonfrei) von V in W^ , unabhängig von W und m: 


Z = N \x V2ne 


JV+i 


N\ n+ ? 
= 4.13- | -) 


IdZ 


1 


N + -) -(ld IV-1.44)+ 2.05 


Für N = 26 ist Z sa 4.03 • 10 26 ,ldZm 88.38 [bit], log Z « 266.06 [deziban]. 

12.1.1.2 (Voll zyklische einfache Substitutionen, vgl. 3.2.3) 

N 

Permutationen V -<—>- V mit genau einer Zusammenhangskomponente, 
von der maximalen Ordnung N: 


Z = (N - 1)! x \Ä (^ 7 ^ 


N- 


= 4.13 ■ 




IdZ 


1 


N- - ) • (ld (N - 1) - 1.44) + 2.05 


Für N = 26 ist Z « 1.55 • 10 25 , ld Z « 83.68 [bit], log Z ~ 251.91 [deziban]. 

12.1.1.3 (Echt involutorische einfache Substitutionen, vgl. 3.2.1) 

2 

Für eine echt involutorische Permutation V V muß N gerade sein, 
N = 2v. Sie ist von der Ordnung 2: 

Z = (N - 1)!! d = f (N - 1 )(N - 3 ){N - 5)... • 5 ■ 3 • 1 x y/2- ( ' 


N 1 

— • (ld V — 1.44) -f - 


IdZ: 

2 ' 

Für N = 26 ist Z « 7.9M0 12 , IdZ « 42.85 [bit], logZ ^ 128.98 [deziban]. 


12.1.2 Dezimierte Alphabete (Spezialfall n = 1 von 12 . 2 . 2 ) 

Sie setzen eine lineare Alphabetordnung voraus und nehmen jeweils (vgl. 5.6) 
das q-te Element modulo N ( Sinkov: ‘decimation by q’). 

Z = ip(N) , wo (p die Eulersche Funktion ist (vgl. 5.6) 

IdZ = ldJV + £j = 1 ld p(p M , 1 ) (vgl. 12 . 2 . 2 ) 

Für N = 26 ist Z = 12 (vgl. 5 . 5 , Tabelle lb), 

ld Z 3.58 [bit], logZ « 10.79 [deziban]. 
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z 

ld Z 

12.2.1 Substitutionen 
allgemein 

(26")! 

(26" + ±)(4.70n- 1.44) + 2.05 

12.2.2 Homogene lineare 
Substitutionen 

0.265 • 26" 2 

4.70 n 2 - 1.916 

12.2.3 Additionen 

26" 

4.70 n 

12.2.4 Transpositionen 

n! 

(n + i)(ldn- 1.44) + 2.05 


Tabelle 3. Komplexität monoalphabetischer (polygraphischer) Chiffrierschritte 

12.1.3 CAESAR-Additionen (Spezialfall n = 1 von 12.2.3) 

Auch sie setzen eine lineare Alphabetordnung voraus. CAESAR-Addition 

V -< + -->- V , eine reine Verschiebung, ist der monoalphabetische Spezialfall 
einer VIGENERE-Substitution (7.4.1). 

Z = N 

ldZ = ldN 

Für N = 26 ist Z = 26 , IdZ « 4.70 [bit], logZ « 14.15 [deziban]. 

12.2 Monoalphabetische polygraphische Chiffrierungen 

Für polygraphische Substitutionen hängt die kombinatorische Komplexität 
auch von der Chiffrierbreite n ab. 

12.2.1 Polygraphische Substitutionen allgemein 

Permutationen V n -<—>- V n haben die selbe Komplexität wie eineindeutige 
Abbildungen (homophonfrei) von V n in , unabhängig von W und m . 

Z = (N n )\ 

ld Z x ^N n + 0 (n • ld iV - 1.44) + 2.05 

Für N — 26 ist Z = (26 n )! , ld Z » (26 n + i)(4.70n - 1.44) + 2.05 ; 

Bigramm-Permutationen: Z ~ 1.88 • 10 1621 , ld Z ^ 5.39 • 10 3 [bit] 

Trigramm-Permutationen: Z « 1.19 • 10 66978 , ld Z ^ 2.23 • 10 5 [bit] 

Tetragramm-Permutationen: Z ~ 4.82 • io 2388104 , ld Z ~ 7.93 • 10 6 [bit] 

PLAYFAIR-Permutationen haben die selbe Komplexität wie einfache zykli¬ 
sche Permutationen mit N = 25 : 

Z = 25!/(5• 5) « 6.20-IO 23 ,ldZ « 79.04 [bit], logZ ^ 237.93 [deziban]. 
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ld Z 

n = 1 

n = 4 

n = 16 

n = 64 

n = 256 

8.84 • 10 1 

7.93 • 10 6 

3.22 • 10 24 

1.08 • 10 93 

2.07 • 10 365 

3.58 

73.29 

1.20 • 10 3 

1.93 • 10 4 

3.08 • 10 5 

4.70 

18.80 

75.21 

300.83 

1203.31 


4.58 

44.25 

296.00 

1684.00 


für N = 26 in Abhängigkeit von der Chiffrierbreite n 


12.2.2 Polygraphische homogene lineare Substitutionen (Hill) 

Sie setzen ebenfalls eine lineare Alphabetordnung voraus. Nach 5.2.3 ist 

Z = N n2 • p(N, n) , wo für N = p^p^ 2 • • • p s ff 

p(N, n) = p(pi,n)p(p 2 , n)... p(p k , n ). 

\dZ = n 2 \dN+ Y^ k ß= itäp(p^,n) . 

Für große n findet man Näherungswerte für p(p,n) in 5.2.3; 
für große n und nicht zu kleine p ist mit lde « 1.44 

ld p(p,n) « 1.44 / (§ -p ). 

Für N = 26 und große n ist p(2,n) « 0.289 und p(13,n) w 0.917 , also ist 
p(26, n) ~ 0.289 • 0.917 = 0.265 , ld p( 26, n) « 1.92 ; wir bekommen: 

Für N = 26 und große n ist 

Z « 0.265-26 n2 ,ldZ«4.70 n 2 -1.92 [bit],logZ« 14.15 n 2 -5.78 [deziban]. 

12.2.3 Polygraphische Additionen 

Reine Verschiebungen als Spezialfall der inhomogenen linearen Substitution 
sind polygraphische CAESAR-Additionen V n A V n der Chiffrierbreite n. 

Z = N n , \dZ = n\dN 

Für N = 26 ist Z = 26 n , ld Z « 4.70 • n [bit], log Z « 14.15 • n [deziban]. 

12.2.4 Transpositionen 

Transpositionen der Breite n reihen sich etwas künstlich unter lineare Sub¬ 
stitutionen ein, wenn man sich auf solche beschränkt, deren Matrix eine Per¬ 
mutationsmatrix ist. Die Komplexität ist unabhängig von N . 

Z = n\ 

ld Z = (n + i)(ldn- 1.44) + 2.05 
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1 2 4 8 16 32 


—► n 

Abb. 80. Kombinatorische Komplexität polygraphischer Substitutionen 
der Breite n für N = 26 

Man beachte, daß eine Blocktransposition der Breite n zwar polygraphisch, 
aber monoalphabetisch ist — auch wenn irreführenderweise n manchmal als 
,Periode‘ bezeichnet wird. 

12.2.5 Zusammenfassung über monoalphabetische Chiffrierungen 

Eine tabellarische Zusammenstellung der Komplexitäten monoalphabetischer 
(polygraphischer) Chiffrierverfahren zeigt Tabelle 3. Den Verlauf gibt Abb. 80 
graphisch wieder. Man beachte, daß die Komplexität der Transposition die 
der Addition, d.h. der polygraphischen CAESAR-Addition ungefähr bei 
n = N • e überholt (für N = 26 genau bei n~ 68 mit ld Z & 320). 
Transposition erreicht erst bei n — 26 einfache (Monogramm-)Permutation; 
lineare Substitution erreicht bei n— 4 einfache (Monogramm-)Permutation, 

bei n — 32 Bigramm-Permutation. 

Addition (polygraphische CAESAR-Addition) wird ab n = 2 von homogener 
linearer Substitution übertroffen. 

12.3 Polyalphabetische Chiffrierungen 

Die allgemeine polyalphabetische (periodische) Chiffrierung mit d Alphabe¬ 
ten hat als (maximale) kombinatorische Komplexität das Produkt der Kom¬ 
plexitäten der einzelnen Alphabete. Für den uniformen Fall von d Al¬ 
phabeten der gleichen Bauart ist das die d-te Potenz der Komplexität des 
Alphabets. 



12.3 Polyalphabetische Chiffrierungen 243 


12.3.1 PERMUTE-Schritte mit Periode d 

Z — (N\) d 

ld Z = d ■ ((JV — 1) (ld N — 1.44) + 2.05) 

Für N = 26 ist Z = (4.03 • 10 26 ) d , ld Z = 88.382 • d [bit]. 

12.3.2 MULTIPLEX-Schritte mit Periode d 

Z = {{N-l)\) d 

ld Z = d ■ ({N - i) (ld (JV - 1) - 1.44) + 2.05) 

Für N = 26 ist Z = (1.55 • 10 25 ) d , ld Z = 83.681 • d [bit]. 

12.3.3 ALBERTI-Schritte mit Periode d 

Z = (N - 1)! N d 

ld Z = d ■ ld JV + (JV - J)(ld (JV - 1) — 1.44) + 2.05 

Zi 

Für N = 26 ist Z = 1.55 • 10 25 ■ 26 d , ld Z « 4.70 • d + 83.682 [bit]. 

12.3.4 VIGENERE- oder BEAUFORT-Schritte mit Periode d 

Z = N d 
\AZ = d\dN 

Für N = 26 ist Z = 26 d , ld Z ss 4.70 • d [bit]. 



1 10 10 s 10 3 10* 10 5 10* 

-M i 

Abb. 81. Kombinatorische Komplexität polyalphabetischer Chiffrierungen 
der Periode d für TV = 26 
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Z 

ld Z 

12.3.1 PERMUTE-Substitutionen 

(26!) d 

88.38 • d 

12.3.2 MULTIPLEX-Substitutionen 

(25!) rf 

83.68 • d 

12.3.3 ALBERTI-Substitutionen 

25! 26 rf 

4.70 • d + 83.68 

12.3.4 VIGENERE-Substitutionen 

26 d 

4.70 • d 


Tabelle 4. Komplexität polyalphabetischer (monographischer) Chiffrierverfahren 


12.3.5 Zusammenfassung über polyalphabetische Chiffrierungen 

Eine tabellarische Zusammenstellung der Komplexitäten zeigt Tabelle 4. Den 
Verlauf gibt Abb. 81 graphisch wieder. 

Man beachte, daß VIGENERE-Substitutionen für d « N + \ - N ^ n N 2w 
(d.h., im Fall N = 26, für d = 19; im Fall N = 26 2 , für d = 573) mit der 
monoalphabetischen einfachen Chiffrierung gleichziehen. 

MULTIPLEX-Substitutionen ziehen mit monoalphabetischer n-gramm-Per- 
mutation gleich für d~n-N n ~ 1 , im Fall V = 26und n — 2 genauer für d = 55. 

Die Komplexität der VIGENERE- oder BEAUFORT-Verfahren mit Periode 
h und der Addition (d.h. der polygraphischen CAESAR-Addition) mit der 
Breite h stimmen überein 3 . 

12.4 Allgemeine Bemerkungen 

Bei der Untersuchung der kombinatorischen Komplexität ist zu beachten, daß 
die gesamte Verfahrensklasse betrachtet wird. In der Praxis wird der unbe¬ 
fugte Entzifferer oft von den Umständen bestimmte Einschränkungen finden. 

12.4.1 So ist der Zylinder von Jefferson und Bazeries ohne Kenntnis der 
Scheiben als MULTIPLEX-Verfahren aufzufassen, mit Kenntnis der Scheiben 
(Grundsatz: Ein Gerät kann in gegnerische Hände fallen 4 ) jedoch nur mehr 
als Transposition. Für d = 25 (M-94) bedeutet das einen Rückgang von 
Z = (26 !) 25 « IO 665 auf Z = 25! « 1.55 • 10 25 , oder von IdZ « 2209 
auf ld Z « 83.7. Ähnlich, wenn auch weniger drastisch, bei Albertis Scheibe: 
Wenn sie in gegnerische Hände fällt, reduziert sich das ALBERTI-Verfahren 
zum VIGENERE-Verfahren; Z geht von (N\) • auf N d zurück, oder 

für N = 26 , ld Z von 4.70 • d + 83.68 auf 4.70 • d . 

3 Für A^=10 kann man dazu ein /i-stelliges Addierwerk benützen, dessen Übertragsein¬ 
richtung man im ersten Fall ausgebaut hat, im zweiten Fall nicht (vgl. 5.7 und 8.3.3). 

4 Regel Nr. 3 von 11.2.3 . Bazeries erfand sein Gerät 1891, acht Jahre nachdem Kerckhoffs 
1883 seine Maxime publiziert hatte. 
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ld Z 

d = 1 

d = 10 

d= 100 

d = 1000 

d = 10000 

88.38 

883.82 

8838.20 

88381.95 

883819.53 

83.68 

836.82 

8368.15 

83681.51 

836815.36 

88.38 

130.69 

553.73 

4784.12 

47088.08 

4.70 

47.00 

470.04 

4700.44 

47004.40 


für N = 26 in Abhängigkeit von der Anzahl d der Alphabete 


12 . 4.2 Man beachte ferner, daß doppelte Transposition etwas geringere 
Komplexität hat als Transposition mit doppelt so großer Breite 5 , daß sie 
jedoch als weitaus schwieriger zu brechen gilt. Aber letzteres Urteil bezieht 
sich nur auf die Fälle, in denen Exhaustion nicht mehr durchführbar ist. 

12 . 4.3 Schließlich fällt noch auf, daß für VIGENERE-Substitutionen Z und 
ld Z nur von N d bzw. von d -\dN abhängt und somit (für N = 2 k ) beim 
Übergang zu binärer Codierung gleich bleibt: (2 k ) d = 2 k ' d . Dagegen geht 
für PERMUTE-Substitutionen (12.3.1) die Komplexität beim Übergang zu 
binärer Codierung drastisch zurück: Es ist (( 2 k )\) d > ( 2\) k ' d für k > 2 . 

12.5 Die Exhaustionsmethode 

Die kombinatorische Komplexität ist eben nur ein Maß für eine ganz bestimm¬ 
te Entzifferungsmethode; eine sehr allgemeine Methode allerdings, die wir 
Exhaustion nennen wollen: Es werden alle Klartexte, die nach einem gewis¬ 
sen Verfahren zu einem vorgegebenen Geheimtext passen (alle ,Varianten‘), 
konstruiert und es wird die „richtige“ Nachricht „ausgelesen“ in des Wortes 
,Lesen‘ wahrster Bedeutung. Bei dieser Methode ,liest‘ man unter Umstän¬ 
den mehr als eine Nachricht heraus — dann weiß man aber auch, daß die 
Entzifferung nicht eindeutig ist. Wir werden darauf unter dem Stichwort 
Unizitätslänge zurückkommen. Liest man gar keine Nachricht heraus, so 
handelt es sich entweder um einen Chiffrierfehler oder es liegt gar nicht das 
vermutete Verfahren vor. 

Das Verfahren ist natürlich praktisch nur durchführbar, wenn die Anzahl der 
durchzumusternden Varianten nicht riesengroß ist. Man geht dabei auch so 
vor, daß man für längere Nachrichten nicht jeden möglichen Klartext sogleich 
ausdruckt, sondern für jede Variante jeweils ein Stück, im Extremfall jeweils 
ein Zeichen. 


5 Es steht Z = (n !) 2 gegen Z = (2n)! = (n !) 2 • ( ) x (n !) 2 -4 n /^tt • (n + \ + 3 ^). 
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HVZDUVFKRQGXQNHODOVLFKLQERQQDQ N DPLFKC 
IWAEVWGL S RHYRO I PEP WM G L M R F SRRERO EQMGLD 
J X B FWXHMT S I ZSPJQFQXNHMNSGTS SFS P FRNHME 
KYCGXYI NUTJ ATQKRGRYO I NOTHUTTGT Q GSO I NF 
L ZDHYZ J OVUKBURL S H S Z P J OPU I VUUHU R HTP J OG 
MAE I ZAKPWVLCVSMT I TAQKPQV JWVV I V S I UQKPH 
NB F J AB LQXWMDWTNU J UBRLQRWKXWWJWT J VRLQ I 
OCGKBCMRYXNEXUOVKV C SMRS XLYXXKX U KWS MR J 
PDHLCDN S ZYO F YV PWLWD TN STYMZYYLYV LXTNSK 
QE IMDEOTAZPGZWQXMX E UOTUZNAZZMZWMYUOTL 
RF J NEFPUBAQHAXRYNYFVPUVAOBAANA X NZVPUM 
SGKOFGQVCBR I BYS ZOZ GWQ VWBP C B B O B Y OAWQVN 
TH L P GHRWD C S J C Z T A P AHXRWX CQDCCPC Z PBX RWO 
UIMQHI SXEDTKDAUBQB I YSXYDREDDQD A QCYSXP 
VJNRI JTYFEULEBVCRCJ ZTYZESFEERE B RDZTYQ 
WK OS JKUZGFVMFCWD SDKAUZAFTGFF S F C SEAUZR 
X L P T K L V A HGWN GD X ETELBVABGUHGGTG D TFBVAS 
YMQULMWB I HXOHEYFUFMCWBCHV I HHUH E UGCWBT 
ZNRVMNXC J I YP I FZGVGNDXCD IWJ I IVI FVHDXCU 
A O SWN OY D K J Z Q J G A HWHOEYDEJXKJ JWJ GWI EYDV 
BPTXOPZELKARKHBIXIPFZEFKYLKKXKHXJFZEW 
CQUYPQAFMLBSLICJYJQGAFGLZMLLYLIYKGAFX 
DRVZ QRBGNMCTMJ DKZKRHBG HMA NMM ZMJ ZLHBGY 
E SWAR S CHONDUNKELALS I CH I NBONNAN KAM I CHZ 
FTXBSTDIPOEVOLFMBMTJDIJOCPOOBOLBNJDIA 
GUYCTUE J QPFWPMGNCNUKE JKPDQPPCP M COKE J B 

Tabelle 5. 26 Varianten einer CAESAR-Chiffrierung: HVZDU VFKRQ... 


Wir illustrieren das Verfahren an zwei Beispielen von Verfahren, die jeweils 
etwa zwei Dutzend Varianten haben: 

a) CAESAR-Addition mit Z 2 q‘ 26 Varianten (Tabelle 5) 

b) Transposition mit Periode 4: 24 Varianten (Tabelle 6) 

Exhaustiv geht man auch vor, wenn man eine nicht zu große Anzahl wahr¬ 
scheinlicher Schlüsselwörter 6 vorliegen hat oder zu kennen glaubt. In der Re¬ 
naissance war das diesbezügliche Repertoire geeigneter geflügelter Worte 6 — 
OMNIA VINCIT AMOR , VIRTUTI OMNIA PARENT , IN PRINCIPIO 
ERAT VERBUM , SIC ERGO ELEMENTIS , um nur einige zu nennen, die 
in der Literatur auftreten — doch recht beschränkt. Aber auch heute findet 
man bei Amateuren bis hinauf zu Staatsmännern eine Vorliebe für program¬ 
matische 6 Schlüsselwörter. 
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Tabelle 

6 . 

24 Varianten 

einer Transposit 

;ion der Breite 4 : 

: S A E W 

S 

H R C N U . 


12.6 Unizitätslänge 

Verfolgt man den segmentweisen Aufbau der verschiedenen möglichen Klar¬ 
texte, so merkt man, daß von einer recht gut abgrenzbaren Stelle an die 
Entscheidung für einen Klartext deutlich zu fällen ist. Die Anzahl Zeichen 
bis zu dieser Stelle nennt man die empirische Unizitätslänge U des betref¬ 
fenden Verfahrens. Es fällt auf, daß in beiden Beispielen, bei ungefähr gleicher 
Komplexität (Z ~ 25 bzw. IdZ ~ 4.64) die Unizitätslänge ungefähr gleich 
(nämlich bei etwa 4 Zeichen) ist 6 . 

Auch für Verfahren mit sehr großem Z , wie etwa monoalphabetische Chif¬ 
frierungen [Z = 26!, ld Z ■= 88.38) kann die Unizitätslänge von erfahrenen 
Kryptologen abgeschätzt werden: für Texte mit deutlich weniger Buchstaben 


6 Es gibt beispielsweise nur ganz wenige Vierbuchstabenwörter, die keine eindeutige Cae¬ 
sar-Entschlüsselung erlauben, im Deutschen etwa (Z26) zydd: BAFF, POTT; qfzg: 
LAUB, TICK; qunq: EIBE, OLSO; himy: ABER, NORD, KLOA(KE), (ST)OPSE(L) 
(Z 25 !); im Englischen (Z 26 ) mpqy: ADEN, KNOW; aliip: DOLLS, WHEEL; afccq: 
JOLLY, CHEER (nur verschiedene Buchstaben sind hier von Belang). 
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gelingt keine eindeutige Entschlüsselung. Im Falle der allgemeinen mono¬ 
alphabetischen Chiffrierung hegt die Unizitätslänge nach solchen Erfahrun¬ 
gen bei einigen Dutzend ( Sacco 1947), genauer zwischen 20 und 30: 

“... the unicity point, at about 27 letters . ... With 30 letters there is 
always a unique solution to a cryptogram of this type and with 20 it is 
usually easy to ßnd a number of Solutions” (Shannon 1945); 

u Practically every example of 25 or more characters representing mo- 
noalphabetic encipherment of a ‘sensible message‘ in English can be 
readily solved” (Friedman 1973). 

Für die allgemeine polyalphabetische periodische Chiffrierung (PERMUTE- 
Substitutionen) mit der Periode d ist die Unizitätslänge proportional der 
Länge des Schlüssels (Sacco 1947). 

Kontrollexperimente mit erheblich größerem Z ergeben das empirische Re¬ 
sultat (siehe auch 15.11): 

Die Unizitätslänge hängt (bei ein und der selben Sprache) lediglich von 
der kombinatorischen Komplexität Z des Verfahrens ab, und ist für 
nicht zu kleine Z proportional ld Z . 

Dieses quantitative Resultat war um 1935 anscheinend wenig bekannt, 7 mög¬ 
licherweise hatte Friedman eine Ahnung. Es bedeutet, daß der ganze Ein¬ 
fluß der dem Text zugrundeliegenden Sprache sich nur in der Proportio¬ 
nalitätskonstante auswirken kann, und ist ein empirischer Angelpunkt zur 
Begründung der Shannon’ sehen Informationstheorie. Die theoretische Un¬ 
termauerung verdankt man Claude E. Shannon (1945, freigegeben 1949). 
Nehmen wir einmal für einfache Substitution Friedmans Wert U = 25 an, 
so gilt also, mit IdZ « 88.38 empirisch (für nicht zu kleines Z) 

W u*y 5 mz. 

Tabelle 7 zeigt eine nach dieser Formel mittels Tabelle 3 für verschiedene 
Breiten n gerechnete Aufstellung. 8 



n = 1 

n — 4 

n = 16 

n = 64 

n = 256 

Allgemeine Substitution 

25 

2.3-10 6 

10 24 

10 93 

10 365 

Lineare homogene Substitution 

(1.02) 

21 

345 

5 520 

88000 

Addition 

(1.34) 

6 

21 

86 

345 

Transposition 


(1.31) 

13 

85 

480 


Tabelle 7 . Empirische Unizitätslänge U, extrapoliert nach (*), aufgerundet (N = 26 ) 


7 Lediglich qualitative Erkenntnisse, wie „der Schlüssel sollte der Länge nach mit der 
Nachricht vergleichbar sein“ ( Parker Hitt 1914 , vgl. 8 . 8 . 2 ) waren seit Kasiski , s. 17 . 3 , 
bekannt. 

8 Die eingeklammerten Werte fallen dabei zu klein aus, um bedeutungsvoll zu sein. Die 
Formel hat folgenden informationstheoretischen Hintergrund: Von 4.7 = ld 26 [bit/char] 
entfallen 3.5 [bit/char] ( 74 . 5 %) auf Redundanz und 1.2 [bit/char] ( 24 . 5 %) auf Informa¬ 
tion. Mehr darüber im Anhang Perfekte Sicherheit und praktische Sicherheit. 
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Für Bigramm-Permutation ergibt sich U « 1539 , für Trigramm-Permutation 
U « 63 570 , für Tetragramm-Permutation U ~ 2 266 500 . 

Für polyalphabetische Chiffrierung vervielfacht sich die empirische Unizi- 
tätslänge einer zugrundeliegenden monoalphabetischen Chiffrierung mit der 
Periodenlänge d. So ergibt Addition (VIGENERE-Verfahren) 


mit 

d = 

10 2 

Cr 

* 134 

mit 

d = 

10 4 

Cr 

ä 13400 

mit 

d = 

10 6 

Cr 

s 1340000 


Falls eine Unizitätslänge existiert, so ist zu erwarten, daß auch durch andere 
geeignete Methoden als durch Exhaustion das Brechen einer Chiffrierung mit 
wachsender Länge des Chiffrats weniger unsicher und ab einer gewissen, in der 
Nähe der Unizitätslänge liegenden Länge des Chiffrats unproblematisch wird, 
sobald ein hinreichender Aufwand getrieben wird. Für ,unbrechbare‘ Chif¬ 
frierungen (vgl. 8.8.4) existiert keine Unizitätslänge. 

12.7 Praktische Durchführung der Exhaustion 

Bei der praktischen Durchführung eines Exhaustionsverfahrens wird man 
die Länge der zu betrachtenden Stücke schrittweise vergrößern und jeweils 
„unmögliche“ Varianten ausmerzen. Nach den in der Literatur verfügbaren 
Tabellen sind von den 676 Bigrammen rund die Hälfte „möglich“, von den 
17 576 Trigrammen sind etwa ein halbes Tausend „möglich“. Das Verfahren 
ist leicht mechanisierbar und mit Rechenanlagen interaktiv durchführbar, 
wenn man mit nicht wesentlich mehr als zehntausenden von Varianten be¬ 
ginnt. Bei Bildschirm-Betrachtung kann man unschwer Fünfer- bis Achter¬ 
gruppen „mit einem Blick“ erfassen und mindestens zwei solche Gruppen pro 
Sekunde „auslesen“, was eine Stundenleistung von zehntausend Anfangsva¬ 
rianten ergibt. Später vermindern sich die zu betrachtenden Anzahlen ganz 
drastisch. Für das Beispiel von Tabelle 5 bzw. Tabelle 6 ist das in Abb. 82 
bzw. Abb. 83 ersichtlich. Dabei haben wir, um Randeinflüsse zu diminimie- 
ren, mit der 6. Spalte begonnen. 

Exhaustion ohne maschinelle Unterstützung wird unerträglich, wenn einige 
Zehntausend Fälle zu untersuchen sind (der Acht-Stunden-Tag hat 28 800 
Sekunden!). Beachte, daß nach 12.3.4 und 12.2.4 

bei VIGENERE (einer additiven polyalphabetischen Chiffrierung) 

Z — 17 576 für Periode 3, Z = 456 976 für Periode 4 ; 

bei Transposition (einer speziellen polygraphischen Chiffrierung) 

Z = 40 320 für Breite 8 , Z = 362 880 für Breite 9 . 

Dies zeigt, welche (beschränkte) Tragweite die Exhaustionsmethode wirk¬ 
lich hat. Für allgemeine monoalphabetische Chiffrierung und PLAYFAIR- 
Verfahren, mit Z von der Größenordnung 10 25 , ist sie praktisch bereits 
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Abb. 82 . Exhaustion für 26 Varianten einer 

CAESAR-Chiffrierung 
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Abb. 83 . Exhaustion für 24 Varianten einer Transposition der Breite 4 
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nicht mehr verwendbar. Gegen die Exhaustionsmethode hilft jedoch eine 
noch so hoch erscheinende Komplexität nichts, wenn diese durch geeignete 
Maßnahmen hinreichend eingeengt werden kann. 

Mit anderen Worten: 

Die Exhaustionsmethode, obschon für sich allein ziemlich bedeutungslos, ist 
in Kombination mit anderen Verfahren die Grundmethode der Kryptanalyse. 

Exhaustion wendet auch der berufene Entzifferer an bei polyphonen Chif¬ 
frierungen. Bekanntestes Beispiel ist die polyalphabetische Chiffrierung mit 
dem Zylinder von Jefferson und Bazeries , bei dem man den Klartext unter 
zwei Dutzend Varianten suchen muß. 

12.8 Mechanisierung der Exhaustion 

12.8.1 Für die Exhaustion einer CAESAR-Addition gibt es eine Mechanisie¬ 
rung durch die einfache Streifenmethode. Vorbereitete Streifen, auf denen 
das Alphabet (zweimal) verzeichnet ist, werden benutzt, um das Chiffrat und 
gleichzeitig alle Varianten darzulegen (Abb. 84). Statt dessen kann man auch 
Scheiben benutzen, auf deren Umfang das Alphabet steht. 

12.8.2 Für die Exhaustion einer Transposition bekannter Breite n schreibt 
man das Chiffrat waagrecht laufend in ein Feld von n Spalten und zerschnei¬ 
det dann das Blatt in n Streifen, die man permutiert (Abb. 85). 


Abb. 85. 

Schneidemethode 
für das Brechen 
einer Transposition 



XXX 



12 . 8.3 Kryptanalyse durch Exhaustion ist eine Methode der rohen Gewalt 
und hat als solche ihre Grenzen der Durchführbarkeit. In den nächsten Ka¬ 
piteln werden wir Methoden diskutieren, die in raffinierter Weise auf Invari¬ 
anten der Chiffrierung basieren (“the ‘invariant’ characteristics of the cryp- 
tographic System employed”, Solomon Kullback, in: Statistical Methods in 
Cryptanalysis, 1935). 
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“No matter how resistant the cryptogram, all that is really needed is 
an entry , the Identification of o ne word, or of three or four letters.” 

Helen Fouche Gaines 1939 

Sprache enthält ein schwer ausrottbares inneres Gerüst von Gesetzmäßig¬ 
keiten. Von besonderer Wichtigkeit sind dabei Wiederholungsmuster. 

13.1 Invarianz der Wiederholungsmuster 

Invarianzsatz 1: Für alle monoalphabetischen, funktionalen einfachen 
Substitutionen , insbesondere auch für alle linearen monoalphabetischen 
einfachen Substitutionen gilt: 

Wiederholungsmuster der Einzelzeichen innerhalb des Textes bleiben 
erhalten. 

Wird etwa der Klartext wint ersemes t er 

durch einen CAESAR chiffriert ZLQWHUVHPHVWHU, 
mit einem revertierten Alphabet DRMGV I HVNVHGV I , 
mit einem permutierten Alphabet VAH ORMNRGRN ORM, 

so bleibt das Muster der Zeichenwiederholungen erhalten. Muster sind nach 
Shannon die ‘residue classes’ der einfachen Substitutionen. Textstücke, die 
das gleiche Wiederholungsmuster aufweisen, heißen idiomorph. 

Für monoalphabetische und funktionale polygraphische Substitutionen des 
Typs V—>- W bleiben unter Beachtung der Polygrammfugen die 
Muster der Polygrammwiederholungen erhalten. 

Transpositionen dagegen erhalten Wiederholungsmuster nicht. Auch homo¬ 
phone und ganz besonders polyalphabetische Substitutionen zerstören die 
Wiederholungsmuster. 

Muster bezeichnet man üblicherweise in Normalform mit Ziffernfolgen, in 
denen jede erstmals auftretende Ziffer keine größere Ziffer zur Linken hat. 
N R G R N hat das Muster 12321 , N R G R N O R das Muster 1232142 , 
ORMNRGRNORM das Muster 12342524123 . 
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Im Geheimtext VAHORMNRGRNORM 
fällt das Muster 12321 von N R G R N sofort auf. Auch tritt das wieder¬ 
holungsfreie Muster 123 von O R M zweimal auf. Das gesamte Muster 
12345675857456 bedeutet also ein 6+8-buchstabiges Wort, das sich reimt. 
Tatsächlich wissen wir, wenn wir aufgepaßt haben, daß Wintersemester 
idiomorph ist, und können vermuten, daß es kaum eine andere Lösung gibt. 

Kurze Muster erlauben jedoch viele Belegungen. Das Muster 1221 er¬ 
laubt im Englischen die in Abb. 86 zusammengestellten Belegungen. Die 
Liste (ohne Eigennamen) dürfte ziemlich vollständig die in Cassels German 
Dictionary aufgeführten Wörter (ohne grammatikalische Abarten) umfassen. 

Beachte, daß diese Liste außer (b)atta(lion), (z)eppe(lin), (c)ommo(dore), 
(sh)ippi(ng) nur wenige Wörter aus dem militärischen Genre enthält; weiter¬ 
hin außer (amb)assa(dor), assa(ssin), (sh)illi(ng), (perm)issi(ion) nur wenige 
Wörter aus dem diplomatischen Genre. Die Suche nach den Belegungen eines 
Musters wird durch die Kenntnis der Umstände erheblich eingeschränkt. 

Neben 1221 sind andere interessante Vier-Ziffern-Muster aus zwei Ziffern 
1211 , 1212, 1121, in r die es Belegungen wie (p)fiff, gege(ben), (s)eele 
gibt, andere wie 1122 oder 1111 haben im Deutschen aus orthographischen 
Gründen keine natürlichen Belegungen. Beachte auch, daß ein Muster wie 
123245678 verlangt, daß die acht beteiligten Zeichen verschieden sind; an¬ 
dernfalls sollte das Muster vielleicht *£<?£***** lauten und wäre nicht ver¬ 
schieden von 121. Ein nicht zu langes Muster mit zwei oder mehr wieder¬ 
holten Ziffern hat normalerweise, wenn überhaupt, sehr wenige Belegungen 
oder eine eindeutige. 12132435 erlaubt im Englischen nur /fiftieth/ . 

Die Schlußfolgerung ist klar: Wörter und Phrasen mit einem auffälligen Mu¬ 
ster sollten durch den Kryptosekretär eliminiert werden, normalerweise durch 
Umschreibung, wie es regelmäßig für den Funkverkehr der britischen Admira¬ 
lität geschah. Ein notorisches Beispiel ist 1234135426 , das im Deutschen 
nichts als das ominöse /heilhitler/ erlaubt. Wer hätte es in Hitlers Deutsch¬ 
land wagen dürfen, die stereotype Floskel zu entfernen? Kerckhoffs hat sogar 
darauf hingewiesen, daß Wiederholungen wie in ^pouvez-vous vous defendre » 
zu vermeiden seien. Aber in klarem Gegensatz dazu war es im militärischen 
Verkehr weithin üblich, eine wichtige Stelle durch Wiederholung hervorzu¬ 
heben, wie OKMMMANAN (vgl. 9.2.5) in deutschen Funksprüchen. Die Alli¬ 
ierten taten das gleiche: SC48SC48 findet sich in einem Funkspruch an den 
Konvoi SC.48 ( Beesly ) oder CHICKEN-WIRETCHICKEN-WIRE in einer Nach¬ 
richt, mit der Bletchley Park die Entzifferung eines deutschen Funkspruchs, 
der amerikanische Paßwörter und Antworten enthielt, weitergab (Lewin). 

Die Anzahl von Mustern der Länge n stimmt überein mit der Anzahl von 
Partitionen einer n-elementigen Menge, den Beil-Zahlen B(n ), die mit n 
ziemlich rasch wachsen, wie die folgende Tabelle zeigt: 

n 01234567 8 9 10 11 12 

B(n) 1 1 2 5 15 52 203 877 4140 21 147 115 975 678 570 4 213 597 
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abbacy cabbage c abba la sabbath scabbard baccalaureate maccabee 
staccato affable affair baggage braggart haggard laggard alla h allay b aila d 
b alla st f alla cy gallant inst alla tion m alla rd P alla dium par alla x w alla by 
diagrammatic fl amma ble g amma gr amma r m amma progr amma tic anna list 
annals bandanna cannabis hos anna m anna sav anna h appal apparatus 
apparel apparent kappa arrack arra ign arra nge arra nt arras array b arra ck 
barracuda b arrag e c arrag heen embarrass narrate t arrag on w arra nt 
amb assa dor assail assa ssin assault assay cassandra massacre m assag e 
p assa ge v assa l w assa il attach attack attain rattan attar battalion co atta il 
rattan regatta w atta ge piazza beebread boob booby deed deed less indeed 
doodle ebbe d eccentric b edde d reddear redden shredder wedded effe ct 
effeminate effendi efferent effervesce effete begged bootlegger egge d l egge d 
pegged trekked aquar elle bagatelle b elle chanc elle ry chanter elle driv elle r 
dw elle r exc elle nt f eile r fontan elle gaz elle grov elle r h elle bor h elle nic 
imp elle nt int elle ct iew elle r lib elle r mademois elle nac elle p elle t Prop elle r 
rep elle nt s elle r t elle r trav elle r emme t barrenness comedienne f enne c f enne l 
jennet k enne l r enne t tenner pepper stepper zeppelin deterrent f erre t 
Int erre gnum int erre lation overreact part erre t erre strial adr esse e dessert 
dresser essence esse ntial fin esse larg esse l esse n m esse nger nobl esse 
quintessence t esse late v esse l beg ette r better burette corvette curette f ette r 
gaz ette getter letter marionette pirouette rosette roulette setter Silhou ette 
geegee googol heehaw Capr icci o past icci o forb iddi ng yiddish difficile 
difficult griffin tiffin biggish bacilli billiard billion brilliant chilli cyrillic 
fillip illicit illinois illiquid illiberal illiterate illimitable l illip ut milliard 
millibar milligram milliliter millimeter milliner millionaire millivolt 
penicillin postillion Shilling silliness tranquillize trillion trillium Vanillin 
g immi ck immi grant immi nent immiscible irmmtigable finnish irmings 
p innip ed z inni a pippin irrig ate irritate admission Commission dissident 
dissimilar d issip ate emission fissile fission fortissimo missile mission 
missive omission permission permissive acquitting fitting kittiwake c ivvi es 
noon br occo li sir occo ap ollo c ollo cate c ollo id c ollo quial C ollo quium f ollo w 
h ollo w r ollo ut c ommo n acc ommo date c ommo de c ommo dore c ommo tion 
c onno te Opponent opportune oppose opposite b orro w c orro borate c orro de 
h orro r m orro w s orro w bl osso m cr osso ver bl otto bottom c otto n gr otto 
l otto m otto otto man ris otto gl owwo rm p owwo w peep poop career seesaw 
teeter teet he teet otal teetotum toot toot hache toot le h ubbu b succulent 
s uccu mb s uccu ss p ullu p nummulite unnumbered chaussure g uttu ral 


Abb.86. Belegungen des Musters 1221 im Englischen 
(nach Hugh Casement ) 





256 13 Anatomie der Sprache: Muster 


13.2 Ausschließung von Chiffrierverfahren 

Satz 1 kann negativ zur Ausschließung von monoalphabetischen, funktio¬ 
nalen einfachen Substitutionen gebraucht werden — wenn nämlich Muster 
Vorkommen, für die es keine Belegung gibt. Jedoch ist Vorsicht geboten: 
Speziell das Fehlen von Zeichenverdopplungen besagt nicht viel. Seit G. B. 
und M. Argenti gilt es für professionelle Kryptographen als selbstverständlich, 
zur Abwehr der Mustersuche bereits im Klartext Zeichenwiederholungen zu 
unterdrücken, also etwa sigilo statt sigillo zu benutzen (vgl. 11.1.5). Auch 
die klassische Unterdrückung des Wort Zwischenraums soll die Musterbildung 
vermindern. Unterdrückung von Zeichen kann zu Polyphonie führen. Daß 
durch Unterdrückung des Wortzwischenraums Wörter „zusammenfließen“, ist 
selten, kann aber Vorkommen: „er soll ab erhalt kommen“ - „er soll aber 
halt kommen“, oder c we came to get her’ c we came together’. 

13.3 Mustersuche 

Satz 1 kann positiv benutzt werden, wenn man Grund hat zu der Annahme, 
daß eine monoalphabetische, funktionale einfache Substitution vorliegt. Bei¬ 
spiele solcher Art finden sich in Lehrbüchern, die für den Amateur bestimmt 
sind, häufig. 

13.3.1 Im folgenden Beispiel von Helen Fouche Gaines ( u bezeichnet nicht 
unterdrückte Zwischenräume) mit vermuteter einfacher Substitution 
FDRJ NUuHVXXUuRD u MD u S KVS O u P J R K u ZD 
YFZJ X u G S RRVTuQYRuWDARWDFVuRKVuDR 
KVTuDFljS Z ZDYFRuDNljNVOVTS X u S A WV Z R 
ist nach Meinung der Autorin das Auftreten von D in jedem der vier zwei¬ 
buchst abigen Wörter auffällig. Dies legt den Einstieg D = o nahe. Fer¬ 
ner könnte RKV = the gelten, was verträglich wäre mit RD = to und 
DRKVT = other ; und GSRRVT = GStter ergäbe. Jetzt hat man bereits 
folgendes Fragment einer Entzifferung mit vermutlich fünf erkannten Zeichen 
Fot JNU u HeXXU u t o u Mo u S he S O u PJ t h u Zo 
YFZJXuGSt t er u QYt u Wo At Wo F e u t he u ot 
her uOFuSZZoYFt u oN u NeOer SX U S AWe Zt 
Von jetzt an geht es schneller: Für das andere Dreibuchstabenwort QYt 
scheiden not , got , out , yet aus, da e und o schon bestimmt sind, aber 
but wäre geeignet. Des weiteren könnten oF = on und oN = of (oder 
umgekehrt) passen. Im ersteren (glücklichen) Fall hat man bereits folgendes 
Fragment einer Entzifferung mit vermutlich neun erkannten Zeichen 
not Jf U u HeXXU u t o u Mo u S he S O u PJ t h u Zo 
unZJ X u GS t t er U but u Wo A t Wo ne u t he u ot 
her u on u SZZount u o f u f eOerSX u SA We Z t 
Das läßt sich schon sehen; SZZount liest sich als account und damit findet 
man auch ZounZJX , nämlich councJX als council . Somit hat man bereits 
folgendes Fragment 
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not i f U u He 1 1 U u t o u Mo u a he a O u Pi t h u c o 

unci 1 u Gat t er U but u Wo A t Wo ne u t he u o t 

her u on u account u o f u f eOeral U SA We c t 

das man mühelos ergänzt, bis auf Kelly , was womöglich ein Eigenname ist. 

Die hier gezeigten Phasen der Entzifferung können als „Trab“ (wenn nach 
dem Einstieg drei bis fünf Zeichen gefunden sind) und „Galopp“ (wenn acht 
bis zwölf Zeichen gefunden sind) bezeichnet werden. Dies spiegelt sich im 
Aufbau der Dechiffriertabelle wider: 

ABCDEFGH I JKLMNOPQRST UVWXY Z 
o h t r e 

n f b u 

i a 1 c 

s m g d w y P 

Lediglich H fehlt noch, B, C, E, I, L kommen im Geheimtext nicht vor. 

An dieser Stelle sollte man sich erinnern, daß N und F sich gegenseitig 
ersetzten, (DF, DN) wurden zu (oN, oF). Das gleiche ist anscheinend für A 
und S, D und O, P und W, R und T, U und Y der Fall. Sollte eine echt 
involutorische Chiffrierung vorliegen, so ergäbe sich zu K = h symmetrisch 
H = k , Helly wäre als kelly zu lesen. Die ganze Chiffrierung würde lauten 

ABCDEFGH I JKLMNOPQRS TUVWXYZ 
sqzovnmkj ihxgfdwbtaryepluc 

Da die unterstrichenen Buchstaben der unteren Reihe rückwärts laufen, liegt 
vermutlich eine Konstruktion des Substitutionsalphabets mittels eines me¬ 
morierbaren Kennwortes vor. In der Tat ergibt sich durch Umordnen die 
involutorische Substitution 1 

t culperabdf ghi 
^ zyxwvtsqonmkj 

Der Staatsanwalt könnte auf diese völlig plausible Entzifferung unter voll¬ 
ständiger Bloßlegung des Systems eine Anklage bauen. Rohrbachs For¬ 
derung lautet: „Erst mit der Erarbeitung sämtlicher zugehörigen Schlüssel 
wird die Lösung als beendet angesehen“ (Hans Rohrbach 1946). Dies ist 
wichtig, wenn Kryptanalysten wie Bazeries 1898 im Prozeß gegen den Her¬ 
zog von Orleans oder Elizebeth Friedman , die Ehefrau von W. F. Friedman , 
1933 im Prozeß gegen die Consolidated Exporters Company, eine Schmug¬ 
gelorganisation zur Zeit der Prohibition, als Zeugen vor Gericht aussagen. 


1 Samuel Woodhull und Robert Townsend belieferten 1779 General Washington mit wert¬ 
vollen Informationen aus dem von englischen Truppen besetzten New York. Sie benutz¬ 
ten als Decknamen CULPER SR. und CULPER JR., vgl. 4.4.1. Die angelsächsische 
(amerikanische) kryptologische Literatur benutzt CULPER häufig, um Schlüssel zu kon¬ 
struieren. Im vorliegenden Beispiel ist die Substitution allerdings (Gaines, S. 70) mit 
dem Kennwort CULPEPER gebildet worden (vgl. 3.2.5). Edmund Culpeper, 1660-1738, 
war ein berühmter englischer Instrumentenmacher. 
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| Cryptoquip 


KIOSP XFIEVBOSF EFPMH 
YIMKKJ XFIEVBJ FK Y F I - 
K OMH 

Yesterday’s Cryptoquip— GLUM GOLFER TODAY 
STUDIES SNOWMEN ON FAIRWAY. © 1977 King Features Syndicate, Inc. 


Today’s Cryptoquip clue: S equals C 

The Cryptoquip is a simple Substitution cypher in which each 
letter used Stands for another. If you think that X equals O, it 
will equal O throughout the puzzle. Single letters, short words, 
and words using an apostrophe can give you clues to locating 
vowels. Solution is accomplished by trial and error. 


| Cryptoquip 


KRKKRLH PLRUI OZGK A Y M- 
MGORA U LYPQ,QRUAH ULZIU 

Yesterday’s Cryptoquip— TRICK HARMONICA MAKES 
PRETTY HARMONY AT PARTIES. 


Today’s Cryptoquip clue: I equals M 

The Cryptoquip is a simple Substitution cypher in which each 
letter used Stands for another. If you think that X equals O, it 
will equal O throughout the puzzle. Single letters, short words, 
and words using an apostrophe can give you clues to locating 
vowels. Solution is accomplished by trial and error. 


© 1977 King Features Syndicate, Inc. 

Abb. 87. Cryptoquips aus Los Angeles Times, 1977 


13.3.2 Es sollte klar sein, daß die Entzifferung des obigen Beispiels nur 
deshalb so glatt lief, weil die Wortzwischenräume — im Gegensatz zu den 
professionellen Gepflogenheiten — nicht unterdrückt waren. Dies ist aber 
gerade die Spielregel für die in amerikanischen Zeitschriften häufig zu fin¬ 
denden ‘Cryptos’ (Abb. 87), zumindest für die Sorte, die als ‘aristocrats’ 
läuft: Wortzwischenräume und Interpunktionen bleiben streng erhalten; nur 
Buchstaben sind als Geheimtext-Alphabet erlaubt. Kein Buchstabe darf für 
sich selbst stehen. Die Länge ist bei den echten Aristokraten (ohne ‘clues’) 
75 bis 100 Zeichen, also ziemlich lang in Anbetracht der Unizitätslänge ^25 
einer einfachen Substitution mit permutiertem Alphabet; dafür darf der Text 
aber die ausgefallensten amerikanischen Wörter enthalten (jedoch keine 
Fremdwörter) und braucht, außer grammatikalisch korrekt zu sein, keinen 
tieferen Sinn zu haben; kann also u.U. ebenso schwer zu „verstehen cc sein 
wie das Kryptogramm. Wörter aus der Biologie wie pterodactyl und ichtyo- 
mancy können ebenso Vorkommen wie das den Mathematikern vorbehaltene 
syzygy ; aber auch yclept , crwth und cwm kann sich finden. Der Text kann 
so gewählt sein, daß die normalen Häufigkeiten der Buchstaben und Phrasen 
vollkommen verfälscht sind — daß also die in Kapitel 15 zu besprechenden, 
auf Häufigkeitsanalysen beruhenden Methoden gar nichts nützen (The enci- 
pherer’s full attention has been given to manipulation of letter characteri- 
stics’, Helen Fouche-Gaines ). 

Bei Kahn findet sich die Lösung eines Kryptogramms der Sorte Aristokrat, 
das sich selbst beschreibt: 

Tough cryptos contain traps snaring unwary solvers: abnormal frequen- 
cies , consonantal combinations unthinkable, terminals freakish, quaint 
twisters like ,myrrh‘. 

13.3.3 Es gibt beispielsweise Texte (Lipogramme), die gänzlich ohne /e/ 
geschrieben sind; der berühmteste ist der (literarisch eher anspruchslose) Ro- 
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man ‘Gadsby’ von Ernest Vincent Wright (Wetzel Publishing Co., Los An¬ 
geles 1939, 287 S., siehe Abb.88). Auf dieser Masche, aber mit höheren 
Ansprüchen, ritt auch Georges Perec (1936-1982) mit seinem Roman ‘La 
disparation ? (1969; deutsche Ubers. ‘Anton Foyls Fortgang’ von Eugen 

Heimle , Frankfurt a. M. 1986; engl. Übers. A Void von Gilbert Adair , 1995). 
Perec , der sich auch mit Akronymen und Akrostichons, Anagrammen und 
Palindromen spielerisch umgibt und der wie Otto Promber , Oskar Pastior 
und Herbert Pfeiffer einem Sprachaktionismus huldigt — er setzt auch Com¬ 
puterprogramme ein und legte 1969 ein Palindrom von 5 000 Buchstaben 
vor — hat 1973 die Geschichte der Lipogramme etwas aufgehellt; schon 1820 
erschien in Wien der Roman eines Dr. Franz Rittler „Die Zwillinge“, der ganz 
ohne /r/ geschrieben ist. Aber bereits um 1800 schrieb Gavrila Romanovich 
Dershavin, ein bedeutender russischer Dichter (1743-1816), den Roman „Ein 
Scherzwunsch“, der ganz ohne /r/ und mit wenigen jo/ auskommt. 

XXIX 

GADSBY WAS WALKINO 
back from a visit down in Branton Hills' manu- 
facturing district on a Saturday night. A busy 
day's traffic had had its noisy run; and with not 
many folks in sight, His Honor got along without 
having to stop to grasp a hand, or talk; for a May¬ 
or out of City Hall is a shining mark for any poli- 
tician. And so, coming to Broadway, a booming 
bass drum and sounds of singing, told of a small 
Salvation Army unit carrying on amidst Broad- 
way's night shopping crowds. Gadsby, walking 
toward that group, saw a young girl, back towards 
him, just finishing a long, soulful oration, saying:— 

. .and I can say this to you, for I know 
what I am talking about; for I was brought up 
in o pool of liquorfT 

As that army group was starting to march 
on, with this girl turning towards Gadsby, His 
Honor had to gasp, astonishingly:— 

“Why! Mary Antor!!” 

“Oh! If it isn't Mayor Gadsby! I don’t 
run across you much, now-a-days. How is Lady 
Gadsby holding up during this awful war?" 

[ 201 ] 


Abb. 88. Seite aus ‘Gadsby’ von Ernest Vincent Wright 


Wright schrieb im Vorwort, daß er die Type /e/ auf seiner Schreibmaschine 
tot gelegt hatte, weil ihm manchmal zwanghaft ein /e/ in den Text schlüpfen 
wollte. Kryptologisch haben diese Monstrositäten natürlich ebenso wenig 
Belang wie die kryptologischen Verzierungen, die Vladimir Nabokov in seine 
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literarischen Werke einfließen ließ. Vaclav Havel hingegen machte sich über 
die marxistisch-leninistische Partei-(Geheim-)Sprache, das Ptydepe , und ih¬ 
ren bürokratischen Nachfolger, das Chorukor , lustig. 

Auch Texte wie die letzten Worte in ‘Finnegans wake’ von James Joyce : ( End 
here. Us then. Finn, again! Take. Bussoftlee, mememormee! Till thousends- 
thee. Lps. The keys to. Given! A way a lone a last a loved a long the.’ 
bereiten einem Entzifferer große Mühe. Nicht umsonst enthält James Joyces 
‘Ulysses’ kryptologische Elemente. 

13.4 Mustersuche bei polygraphischer Chiffrierung 

Auffällige Muster zu unterdrücken, ist unter anderem die Absicht bei Ver¬ 
wendung eines Codes. 

13.4.1 Durch mangelnde Sorgfalt bleiben sie trotzdem erhalten. Luigi Sacco , 
1918 Leiter des ‘ Reparto crittografico ’ des italienischen Hauptquartiers an der 
Isonzo- und Piave-Front, später Autor eines berühmten Buches, empfing am 
30. Juni 1918 zwei Funksprüche (in Fünfergruppen) mit dem gleichen Ende 

.... 4 92073 06583 47295 89255 07325 58347 29264 . 

War schon das ein grober Schnitzer der Österreicher, so war noch schlim¬ 
mer, daß sich der Teiltext 073**5834729 in kurzem Abstand von 18 Zeichen 
wiederholte. Dies war ein klarer Hinweis auf einen Code aus Dreiergruppen 

. 492 073 065 834 729 589 255 073 255 834 729 264 

Sacco hatte einige Erfahrung mit österreichischen Gewohnheiten und Grund 
zu der Vermutung, daß fahrlässigerweise ein längeres Wort buchstabenweise 
codiert worden war. Das Muster war 123456727458 und Sacco, ein Ingeni¬ 
eur, hatte den glänzenden Einfall, radio-Station herauszulesen. Der 
faule österreichische Chiffrierer hatte es nicht für nötig gehalten, die Code¬ 
gruppen für radio und Station aufzusuchen. Wenn aber schon 
einmal — für Eigennamen etwa — buchstabenweise codiert werden mußte, 
dann durfte eine solche Preisgabe des Codes für Einzelbuchstaben nicht am 
Anfang oder am Ende des Textes geschehen. Jedenfalls, der Einstieg in die 
Entzifferung anderer buchstabenweise codierter Textstellen und damit zum 
Brechen des ganzen Codes war geschafft. 

13.4.2 Aber auch ohne die Phantasie Saccos erlaubt das Beispiel einen Ein¬ 
stieg, wenn man eine Liste aller Muster und ihrer Belegungen verfügbar hat. 
Im vorliegenden Fall eines Musters der Länge 12, das vier Wiederholungen 
aufweist, findet man darin höchstwahrscheinlich kaum eine andere Belegung 
als radiostation, und wenn schon, gibt ein Durchspielen einiger 
weniger Fälle sofort Aufschluß. 

Ohne Zweifel waren auch die Österreicher kryptanalytisch versiert. In der 
Kriegschiffrengruppe unter Oberst Ronge gab es eine italienische Sektion, in 
der Major (später Oberst) Andreas Figl ausgezeichnete Arbeit leistete, wie 
auch sein Kollege Herrmann Pokorny in der russischen Sektion — großzügig 
unterstützt durch die Stupidität der jeweiligen gegnerischen Dienste. 
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13.5 Die Methode des wahrscheinlichen Wortes 

Bisher wurde nicht mehr vorausgesetzt als eine Vermutung über die natürliche 
Sprache des Klartextes. Nun wird auch andere Information herangezogen. 
Zum Einstieg in das Brechen einer monoalphabetischen einfachen Substitu¬ 
tion dient insbesondere die Methode des „wahrscheinlichen Wortes“ (frz. mot 
probable , engl, probable word, crib 2 ), vgl. 11.2.5. Nunmehr sucht man nicht 
im Chiffrat nach einem auffälligen Muster, sondern man wählt ein Wort aus, 
das „wahrscheinlich“ im Klartext vorkommt, und sucht das Chiffrat ab, ob 
es und wenn ja, wo überall es das Muster dieses Wortes enthält. 

13.5.1 Dieses Vorgehen beschrieb schon Giovanni Battista Porta (1535-1615) 
in De furtivis , 1563. Statt eines Wortes verwendet man gerne auch eine 
ganze Phrase, wie „Oberkommando der Wehrmacht“; vor allem eignen sich 
dazu die am Anfang und am Schluß von Klartexten häufig zu findenden 
stereotypen Wendungen wie reference to your letter , Hochachtungsvoll Ihr — 
falls sie nicht von einem geschulten Chiffrierer entfernt wurden. Beispiele wie 
An SS-Gruppenführer Generalleutnant der Waffen-SS Berger, Berlin W.35, 
SS-Hauptamt, mit der Bitte um absprachegemässe Weitergabe 

From Algeria to Washington, 21. 7. To the State Department in Washington. 
Strictly conßdential. Most urgent and personal for Deputy Under State 
Secretary. From Murphy 

zeigen, daß es an cribs gewöhnlich nicht fehlt. 3 Im übrigen hilft Grips, Ein¬ 
blick und Einfühlungsvermögen in die gegnerische Situation, eine Kettenreak¬ 
tion, die Jack Good mit “success leading to more success ” treffend beschrieb. 
Und wenn keine Anhaltspunkte vorliegen, können welche provoziert werden: 
Im Gefolge kriegerischer Handlungen sind Wörter wie Angriff/ attack und 
Granatfeuer/ shellßre, Bombardierung/ bombardement und Gefangener/ pri- 
sonnier zu erwarten. Ist etwa den Umständen nach division ein „wahrschein¬ 
liches Wort“ und eine Suche nach dem Muster 12131 von (d)ivisi(on) an¬ 
gebracht, so zeigt ein Blick auf Abb. 95 zeigt, daß im militärischen Genre die 
Gefahr, ein falsches Wort mit diesem Muster zu finden, gar nicht so groß ist, 
wie man angesichts seiner Kürze vermuten möchte. 

13.5.2 Unsterbliche Verdienste für einen durchschlagenden Erfolg der Deut¬ 
schen im 2. Weltkrieg erwarb sich 1941 der amerikanische Diplomat und 
spätere stellvertretende Unterstaatssekretär im Außenministerium Robert D. 
Murphy (1894-1978), der darauf bestand, seiner Bedeutung entsprechend in 
seinen Telegrammen stets u From Murphy” oder “For Murphy” zu verwen¬ 
den (vgl. 11.1.3). Den Vogel schoß jedoch ab der ebenfalls in 4.4 erwähnte 
Leutnant Jäger. Disziplin ist etwas anderes als Gehorsam, sie erfordert Köpf¬ 
chen, und damit hapert es überall. 

2 Im englischen Slang crack a crib, in ein Haus einbrechen. 

3 Selbst die „russische Kopulation“ (vgl. 11.1.1) eines Klartextes das willkürliche Zer¬ 
schneiden und Zusammensetzen verkehrt herum — reicht nicht aus; auffällige Muster 
und Wiederholungen ganzer Wörter müssen vollständig entfernt werden. 



262 13 Anatomie der Sprache: Muster 


13.5.3 Wie viel ein einziges wahrscheinliches Wort bringen kann, zeigt 
folgendes, von U. Kratzer stammendes fiktives Beispiel (Abb.89), dem als 
Klartext ein berüchtigter „Führerbefehl“ von 1939 zugrundeliegt. Nach den 
Umständen wäre denkbar, daß das Jahr 1939 im Klartext vorkommt, und 
angesichts des Schwulsts, mit dem Hitlers Generäle dessen Verlautbarungen 
ausstatteten, wäre nicht einmal auszuschließen, daß, entgegen aller Vorsicht, 
„neunzehnhundertneununddreissig“ ausgeschrieben vorkäme. Das würde 
die Suche nach dem Muster 1231 von neun nahelegen, obschon es sehr 
kurz ist und zahlreiche Fehltreffer zu befürchten wären. 

Tatsächlich kommt dieses Muster etliche Male vor (Abb. 90), insbesondere 
als HQGH viermal, als QHXQ zweimal in der drittletzten und einmal in 
der vorletzten Zeile. Dabei hat das letzte Vorkommnis in der drittletzten 
Zeile vom Vorkommnis in der vorletzten Zeile gerade den richtigen Abstand 
für „neunzehnhundertneun“. Dieser durch die Wiederholung von QHXQ 
provozierte Einstieg liefert die fragmentarische Entzifferung von Abb. 91. 

Offensichtlich befinden sich am Ende des Textes Datumangaben. Es drängt 
sich auf, den Schluß als „vieruhrfuenfundvierzig“ zu lesen. Damit sind be¬ 
reits 12 Zeichen entziffert: 

. . .defghi....n...r.tuv...z 
...GHIJKL....Q...U. WX Y . . . C 

und es ergibt sich die fragmentarische Entzifferung von Abb. 92. Darin kommt 
nun ganz zwingend mit geheiPe in Zeile 1 m=P, mit deutVFh in Zeile 5 
s=V und c=F, mit getrRifenen in Zeile 10 o=R, mit Dngriff in Zeile 15/16 
a=D. Es sind also jetzt schon 17 Zeichen wiederhergestellt: 

a. cdefghi . . . mno. . rstuv. . . z 

D. FGHIJKL. . . PQR. . UV WX Y . . . C 

Abb. 93 zeigt das zugehörige Zwischenergebnis, das sich schon recht flüssig 
liest und Abb. 94 das Endergebnis, die „Weisung Nr. 1 für die Kriegsführung“. 

Spätestens jetzt stellt sich übrigens heraus, daß die Chiffrierung durch eine 
CAESAR-Addition erfolgte. Hätte man nur zu Anfang eine diesbezügliche 
Exhaustion versucht, hätte man dies natürlich nach wenigen Schritten be¬ 
merkt. 

Das Beispiel ist selbstverständlich fiktiv; ein Anweisung dieser Brisanz geht 
regulär nicht über Funk, sondern durch Kurier und bräuchte damit über¬ 
haupt nicht chiffriert zu werden — schon gar nicht mit einem CAESAR! Wer 
genügend Phantasie hat, mag sich aber vorstellen, der dem Widerstand ver¬ 
bundene Canaris habe den Text weitergegeben und ein einfacher Agent habe 
ihn nach Schweden gefunkt. 

13.5.4 Das Beispiel wäre jedoch genauso verlaufen, wenn irgend eine andere 
monoalphabetische Substitution zugrunde gelegen hätte. Es zeigt damit, daß 
die Mustererkennungsmethode von der Art der einfachen Substitution, gegen 
die sie gerichtet ist, gänzlich unabhängig ist. 
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Abb. 89. 

Fiktives Chiffrat eines 

,Führerbefehls“ 

aus dem Jahr 1939 
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Abb. 90. Vorkommen des Musters 1231. 

Das fettgedruckte Idiomorph QHXQ tritt dreimal, HQGH tritt viermal auf 
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J eheLPeNRPPDndRVDFheZeLVunJ nr e 
LnVI uerdLeNrLeJVI uehrunJnDFhde 
PDOOeSROLt LVFhe nPRe J OLFhNe Lt en 
er VFhReSI t VLQduPDul I r LedOLFheP 
ZeJeeLnel uerdeutVFhODndunertrD 
eJ OLFheODJ eDnVeLner RVt J r enzezu 
EeVeLt LJ enhDEeLFhPLFhzur J eZDOt 
VDPenOReVunJ ent VFhORVVender DnJ 
rLI I Dul SROenLVtnDFhdenl uerdenl 
DOOZeLVVJ et r RI I enenYRr Eer eLt un 
J enzul uehr enPLt denDEDender unJ e 
ndLeVLFhEeLPheer dur FhdenLnzZLV 
Fhenl DVt YROOendet enDul PDr VFher 
JeEenDul JDEenYerteLOXnJundRSer 
Dt LRnVz LeOEOeLEenunYer Dender t D 
nJrLI I VtDJerVterneunterneunzeh 
nhundertneununddreLzLJDnJrLI I V 
zeLt YLer uhr I uenl undYLer zLJ 

Abb. 91. Fragmentarische Entzifferung mittels „neunzehnhundertneun“ 

Acht Zeichen sind vermutlich entziffert: dehnrtuz 

gehei PeNRPPDndRVDFheZei Vungnre 
i n V f uerdi eNri egVf uehrungnDFhde 
PDOOeSROi t i VFhenPRegOi FhNei t en 
erVFhReSftVi QduPDuffri edOi FheP 
Zegeei nef uerdeutVFhODndunertrD 
egOi FheODgeDnVei nerRVtgrenzezu 
EeVei ti genhDEei FhPi FhzurgeZDOt 
VDPe nORe Vunge nt VFhORVVe nde r Dng 
ri ff Duf SROeni VtnDFhdenf uerdenf 
DOOZei VVget rRf f enenvRr Eer ei t un 
genzuf uehrenPi tdenDEDenderunge 
ndi eVi FhEei PheerdurFhdeni nzZi s 
Fhenf DVt vROOendet enDuf PDr VFher 
geEenDufgDEenvertei OungundRSer 
Dti RnVzi eOEOei EenunverDendertD 
ngri ffVtDgerVterneunterneunzeh 
nhundertneununddrei zi gDngri f fv 
zei tvi eruhrf uenf undvi erzi g 

Abb. 92. Weitere fragmentarische Entzifferung mittels „vieruhrfuenfundvierzig“ 
Zwölf Zeichen sind vermutlich entziffert: defghinrtuvz 
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Abb. 93. 

Letztes Zwischenergebnis 

Siebzehn Zeichen sind vermutlich entziffert: 
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Abb. 94. Endergebnis: „Weisung Nr. 1 für die Kriegsführung“ 
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13.6 Maschinelle Exhaustion 

der Belegungen eines Musters 

Helen Fouche Gaines schreibt, daß die Anfertigung von Listen von Wörtern 
gleichen Musters sehr nützlich sei, um auch die vertracktesten monoalphabe¬ 
tischen Substitutionen zu lösen. 

13.6.1 Es darf angenommen werden, daß die professionellen Dienste dies 
schon lange wußten und spätestens seit der Verfügbarkeit von Rechenanlagen 
mit Magnetbandspeichern, also etwa ab 1955, auch praktisch nutzten. Es 
gibt neuerdings publizierte Tabellenwerke für Belegungen von Mustern im 
Englischen: 1971, 1972 Muster bis zu 12 Zeichen von Jack Levine , 1977, 
1982, 1983 Muster bis zu 15 Zeichen von Richard V.Andree 4 . Bei der Auf¬ 
schreibung verwendet man zweckmäßigerweise die Methode des ‘ Quick Index’ 
(KWIC, ‘Key Word in Context’), wobei rechts und links überschießende 
Wortreste, durch Klammern abgesetzt, mitgedruckt werden. Ein Beispiel, 
für das Muster 12131 , zeigt Abb.95. Beachte, daß anana(s) oder (r)okoko 
nicht zum Muster 12131 , sondern zum Muster 12121 gehört. 


(m) acada (m) 

ebene 

(r)igidi(taet) 

(1) oboto (mie) 

(m) ahara (ni) 

(1) edere (inband) 

(n) ihili (smus) 

(s)olomo(n) 

(m) alaga 

(v)eheme(nt) 

(b)ikini 

(d) oloro (sa) 

(c) alama(ri) 

(b) elebe (n) 

(m) iliti (a) 

(g)onoko(kken 

(p) alata (1) 

(b) elege (n) 

imiti(eren) 

(m) onolo (g) 

(m) alaya 

(g) elege (n) 

(l)imiti(eren) 

(m)onopo(l) 

(t)amara 

eleme (nt) 

(d) irigi (eren) 

(m) onoto (n) 

(p)anama 

(t) eleme (trie) 

(v) isiti (eren) 

(t) opolo (gie) 

(s) araba (nde) 

(h) elene 

(c) ivili (st) 

(d) oxolo (gie) 

(f) arada (y) 

(s) elene 

(d)ividi(eren) 


(k) araja (n) 

(c) arava (n) 

(g) elese (n) 
eleve 

(d) ivisi (on) 

(s) tatut 

(k) atala (nien) 
(k) atara (kt) 

(h) exere (i) 


(c)umulu(s) 


Abb.95. Quick-Index-Auflistung von Wörtern mit dem Muster 12131 


Solche Sammlungen von Mustern können maschinell hergestellt werden mit 
Hilfe eines Lexikons der betreffenden Sprache. Dabei werden aber wortüber- 
greifende Kontakte, darunter auch solche, die beim Unterdrücken des Zwi¬ 
schenraums entstehen, nicht erfaßt. Teilweise Abhilfe bringt die Aufnahme 
aller grammatikalischen Endungen. Besser ist es, eine Textbasis des betref¬ 
fenden Genres zu verarbeiten — etwa ein ganzer Zeitungsjahrgang auf CD. 

13.6.2 Maschinelle Unterstützung ist auch beim sukzessiven Auffinden von 
Mustern in einem Geheimtext und beim Vorführen passender Belegungen, 

4 Richard V. Andree , Pattern & Non-Pattern Words, Raja Press, Norman, Oklahoma. 
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etwa auf einem Bildschirm, angebracht. 5 Rechnerunterstützung ist insbeson¬ 
dere angebracht, wenn kein wahrscheinliches Wort verfügbar ist und kein Mu¬ 
ster vorgegeben ist, aber seltene Muster oder wiederholte Muster herauszufm- 
den sind. Wenn solche existieren was voraussetzt, daß der Text genügend 
lang ist — führt dies fast sicher zu einem Einstieg. Selbstverständlich kann 
eine anschließende fragmentarische Entzifferung rechnergestützt erfolgen, mit 
geringer interaktiver Arbeit. Bei einem systematischen Vorgehen sucht man 
im Text möglichst solche Muster zu finden, die nicht allzuviele Belegun¬ 
gen erlauben, und wendet darauf die Exhaustionsmethode (12.5) an. Diese 
Methode der Mustersuche, die zunächst ohne Heranziehung der Intuition 
(‘ ciphertext-only attack arbeitet, ist ein erstes Beispiel einer 1 pure cryptana- 
lysis*). Sie macht ein Angebot, das exhaustiv abgearbeitet werden muß. Sie 
wird nachfolgend zur Methode der gekoppelten Mustersuche verfeinert. 

13.6.3 Beim Auffinden mehrerer Muster schließen sich häufig einige Belegun¬ 
gen gegenseitig aus. Dadurch wird der Suchraum verkleinert. Beispielsweise 
finden sich in dem Geheimtext 

SENZEI SE J PANOA I AOPANCAHAOAJ 
1232142 12131 

die Muster 1232142 und 12131 ; zu der in 13.3 verzeichneten Belegung 
s e m e s t e (r) für 1232142 passen aber nur wenige Belegungen für 
12131 , nämlich nur solche, die mit e H e s e verträglich sind; das ist aus 
der Liste von Abb. 95 lediglich (g) e 1 e s e (n) . Zu der ebenfalls in frage 
kommenden Belegung geregnet für 1232142 passen nur solche 
Belegungen für 12131 , die mit e H e g e verträglich sind; das sind aus der 
Liste von Abb. 95 lediglich (g) e 1 e g e (n) und (b) e 1 e g e (n) . P = n 
aus der Belegung mit geregnet stößt sich aber mit J = n sowohl aus 
(g) e 1 e g e (n) wie auch aus (b) e 1 e g e (n) . Dieser Versuch bricht also 
bereits ab. 

Dies zeigt, wie die beiden Muster 1232142 und 12132 zu einem einzigen 
SENZEI SEJ PANOA I AOPANCAHAOAJ 

123214256272128 

vereinigt wurden. 

Mit Semester für 12321425 und g e 1 e s e n für 6272128 sind nun 
sieben Buchstaben festgelegt und das folgende Fragment erzielt: 

SEr ZEmSE nt e r s eme s t e r ge lesen 

Für die Wahl der Klartextzeichen für S , E und Z verbleiben also 19 • 18 • 17 = 
5814 Möglichkeiten. Diese Zahl wird aber noch drastisch reduziert, wenn man 
die rund ein Dutzend Muster für S E n t e r aufsucht. Offen und der Intui¬ 
tion anheimgegeben bleibt sodann noch die Entzifferung von z . Diese etwa 

5 Insbesondere wird man auch nach wiederholten Mustern im Geheimtext suchen, die 
womöglich (ja sogar „wahrscheinlich“) die selbe, häufiger vorkommende Klartextfloskel 
chiffrieren. Wir werden darauf („Parallelstellensuche“) in 17.4 zurückkommen. 
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12 • 17 ^ 200 Fälle sind mit maschineller Unterstützung schnell überprüft. 
Angenommen, man fände neben der naheliegenden vollen Entzifferung 

wirdimwintersemestergelesen 

noch eine zweite oder diese Entzifferung würde angesichts der gegenüber der 
Unizitätslänge kurzen Länge des Textes (27) angezweifelt, so wäre im Sinne 
von Rohrbachs Forderung (13.3.1) ohnehin noch der Schlüssel aufzustellen, 
der sich für diese Entzifferung als ein CAESAR mit der Verschiebung 22 ~ -4 
herausstellt. Das dürfte schließlich genügend glaubwürdig sein. Es sollte 
jedoch bemerkt werden, daß für die Entzifferung kein Gebrauch von den 
Besonderheiten einer CAESAR-Chiffrierung gemacht wurde. 

13.6.4 Man sollte erwarten, daß in einem monoalphabetisch chiffrierten 
Geheimtext die Anzahl der vorkommenden Muster proportional der Länge 
ist; die Kopplung der Muster jedoch mindestens quadratisch mit der Länge 
anwächst, so daß die aus der Kopplung der Muster hervorgehenden Ein¬ 
schränkungen rasch zunehmen und den Suchraum der Exhaustion entspre¬ 
chend einengen. 

13.7 Pangramme 

Nützlich sind ferner Listen von langen Wörtern, die keine wiederholten Buch¬ 
staben enthalten, also von der Form 123456789.. .J\f sind (Pangramme 6 , 
non-pattern words ). Notwendigerweise gilt J\f < N. 

13.7.1 Andree zählt einige hundert Pangramme der Länge 11 wie 

„abolishment“ „atmospheric“ „comradeship“ „exculpation“ „filamentous“ 
„hypogastric“ „nightwalker“ „questionary“ „slotmachine“ „spaceflight“ 

und einige Dutzend der Länge 12 wie 

„ambidextrous“ „bakingpowder“ „bodysnatcher“ „disreputably“ 
„housewarming“ „hydrosulfite“ „springbeauty“ „talcumpowder“ 

auf. Sogar einige Pangramme der Länge 13 sind aufgelistet: 

„bowstringhemp“ „doubleparking“ „doublespacing“ „groupdynamics“ 
„publicservant“ 

und eines der Länge 14: 

„ambidextrously“ 

Beachte, daß in diesen Beispielen der Wort Zwischenraum unterdrückt ist. Es 
gibt natürlich längere Pangramm-Sätze. Kommen solche Wörter oder Sätze 
im Klartext vor, erfordert der Einstieg nur eine Exhaustion von kleinem 
Umfang. Sie sollten also unterdrückt werden. 

6 Richard V. Andree , Nonpattern Words of 3 to 14 letters, Raja Press, Norman, Okla¬ 
homa 1982. 
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13.7.2 Echte Pangramme sind Sätze, die jeden Buchstaben genau einmal 
enthalten (.Af = N ). Im Deutschen ist kein echtes Pangramm bekannt, gute 
Approximationen sind 

Sylvia wagt quick den jux bei pforzheim (33 Zeichen), 
bayerische jagdwitze von maxi querkopf (34 Zeichen) und 
zwei boxkaempfer jagen eva quer durch Sylt (36 Zeichen). 

Im Englischen sind echte Pangramme (26 Zeichen) in sehr freier Sprache 
möglich, etwa 

cwm, fjord-bank glyphs rest quiz ( Dmitri Borgmann ) und 
squdgy fez, blank jimp, crwth vox ( Claude E. Shannon ). 

Zing! Vext cwm fly jabs Kurd qoph (unbekannter Author). 

Gute Approximationen sind im Englischen und Französischen 

waltz, nymph, for quick jigs vex bud (28 Zeichen), 
jackdaws love my big sphinx of quartz (31 characters), 
pack my box with five dozen liquor jugs (32 Zeichen). 

Qui, flamboyant, guida Zephire sur ses eaux (35 Zeichen; Guyot, 1772). 

Bekannt sind seit langem die Testtexte für Fernschreibverbindungen 

kaufen sie jede woche vier gute bequeme pelze 
the quick brown fox jumps over the lazy dog 
voyez le brick geant que j’examine pres du wharf. 

Für Vokal-Pangramme, in denen jeder Vokal genau einmal vorkommt, eignet 
sich besonders das Französische. Gute Annäherungen an echte Vokal-Pan¬ 
gramme sind ultraviolet, trouvaille, autrefois, ossuaire, oripeau, ouaille und 
oiseau, das den Vogel abschießt. 
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14.1 Negative Mustersuche 

Übereinstimmung von Mustern ist notwendigerweise auf monoalphabetische 
Chiffrierungen beschränkt. Für eine weite Klasse von polyalphabetischen, 
endomorphen Chiffrierungen, nämlich für solche, die der Bedingung genügen 

in jedem Alphabet wird kein Zeichen durch das selbe Zeichen chiffriert 

ist jedoch eine Negativsuche nach einem Muster angezeigt: Sie erlaubt eine 
Ausschließung derjenigen Lagen eines wahrscheinlichen Wortes, die die Be¬ 
dingung irgendwo verletzen (einen ‘Krach’, engl, crash geben) und liefert 
damit mögliche Lagen. Die Ausschöpfung geht über die Länge des Textes 
und ist wie die Suche nach Wiederholungsmustern in Kapitel 13 machbar. 

Die Vorbedingung, daß kein Zeichen durch sich selbst chiffriert wird, ist für 
polyalphabetische Chiffrierschritte häufiger erfüllt, als man auf den ersten 
Blick denken mag. Nicht nur gilt sie für alle echt involutorischen Permuta¬ 
tionen (PORTA-Chiffrierschritte, 7.4.4, wobei N = \V\ gerade ist), sie gilt 
auch für alle voll zyklischen Permutationen (MULTIPLEX-Chiffrierschritte, 
7.5.3). Für BEAUFORT-Chiffrierschritte (7.4.3) gilt sie dagegen nicht. 

Monoalphabetische Chiffrierschrittsysteme vermeiden oft — in bester Ab¬ 
sicht — Fixpunkte, für aristocrats (vgl. 13.3.2) ist das sogar vor geschrieben. 
Wird ein polyalphabetisches Chiffrierschrittsystem aus mehreren monoalpha¬ 
betischen Chiffrierschrittsystemen zusammengesetzt, vererbt sich diese Ei¬ 
genschaft, die dann zu einer illusorischen Komplikation wird. 

Die Nichtübereinstimmungsprüfung ergibt i.a. mehrere mögliche Lagen ei¬ 
nes vermuteten Wortes (,Treffer‘), die exhaustiv zu untersuchen sind, ob sie 
echte Treffer oder Fehltreffer sind. Handelt es sich um ein Shannonsches 
Chiffrierschrittsystem (vgl. 2.6.4) und sind die Alphabete bekannt, so kann 
für einen echten Treffer ein Teil des Schlüssels rekonstruiert werden. Das mag 
einen Schlüssel mit bekanntem Konstruktionsprinzip vollständig bloßstellen, 
für einen periodischen Schlüssel sind weite Teile des Klartexts aufgedeckt. 
Die Nichtübereinstimmungsprüfung funktioniert selbstverständlich auch im 
monoalphabetischen Fall. 
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Für die Phrase „Erloschen ist Leuchttonne“ (vgl. 11.1.3) sind in nachfolgen¬ 
dem Chiffrat unter der angegebenen Bedingung nur zwei Lagen möglich, alle 
anderen führen zu einem ‘Krach’, der durch Fettdruck angezeigt wird: 

YOAQUTHNCHWSYTI WHTOJ QMTCFKUS LZVS MFNGTDUQNYAVH 

erl oscheni stl euchttonne 
erl oscheni stl eucht t onne 
erl oscheni stl eucht t onne 
erl oscheni stl eucht t onne 
erl oscheni stl eucht tonne 
erl oscheni stl euchtt onne 
erloschenistleuchttonne 
erl oscheni stl eucht tonne 
erl oscheni stl eucht tonne 
—> erl oscheni stl euchtt onne 
erl oscheni stl eucht t onne 
erl oscheni stl eucht tonne 
erl oscheni stl euchttonne 
erl oscheni stl euchttonne 
erl oscheni stl euchttonne 
erloschenistleuchttonne 
erloschenistleuchttonne 
erloschenistleuchttonne 
erloschenistleuchttonne 
erl oscheni stl euchttonne 
erloschenistleuchttonne 
erloschenistleuchttonne 
—> erl oscheni stl euchttonne 


Eine Reihe maschineller Chiffrierverfahren sind gegen die Methode anfällig: 

Erstens: Schieber- und Zylindergeräte (vgl. 7.5.3), deren Alphabete volle zyk¬ 
lische Permutationen sind. 

Zweitens: Geräte, die „zur Erleichterung der Arbeitsweise“ involutorisch ar¬ 
beiten. Dann ist jedes Alphabet eine involutorische Permutation. Werden aus 
technischen Gründen Zyklen der Länge 1 (Fixpunkte) ausgeschlossen, so ist 
wieder die Voraussetzung für die Negativsuche nach einem Muster gegeben. 
Bei den mechanischen Chiffriermaschinen von Hagelin traf dies nicht zu; die 
BEAUFORT-Chiffrierschritte umfassen die Identität. Die ENIGMA aber litt 
unter dieser Schwachstelle gerade wegen der als besonders raffiniert gedachten 
Einführung der Umkehrwalze. Es fiele schwer, zu glauben, daß die über die 
Sicherheit der eigenen Systeme wachende Gruppe IV ( Hüttenhain) der Chif¬ 
frierabteilung Chi des OKW diese Einbruchmöglichkeit nicht kannte oder un¬ 
terschätzte. Jedenfalls war sie ein wesentlicher Bestandteil für die Arbeit des 
polnischen Biuro Szyfröw und der britischen Dechiffrierer in Bletchley Park . 
Aber die in der amerikanischen Kriegsmarine ebenso sorglos verwendete 
CSP-642, polyalphabetisch mit MULTIPLEX-Chiffrierschritten, war glei¬ 
chermaßen gefährdet; die Japaner machten sich das zu nutze, nachdem sie 
auf den Inseln Wake und Kiska die Schiebergeräte erbeutet hatten. 

Kurze Suchwörter erlauben selbstverständlich viele Treffer und ergeben da¬ 
mit auch viele Fehltreffer. Die Gesamt-Trefferwahrscheinlichkeit der Negativ- 
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n 

P(n) (in %) 

n 

P(n) (in %) 

1 

96.15 

12 

62.45 

2 

92.45 

16 

53.39 

3 

88.90 

24 

39.01 

4 

85.48 

32 

28.51 

5 

82.19 

48 

15.22 

6 

79.03 

64 

8.13 

8 

73.07 

96 

2.32 

10 

67.56 

128 

0.66 


Abb. 96. Gesamt-Trefferwahrscheinlichkeit der Negativ-Mustersuche (N = 26) 

suche nach einem Wort der Länge n ist P(n) = (1 — 1 /N) n x e~ n ! N . 
Abb. 96 zeigt einige Werte für den üblichen Fall N — 26. 

Nachfolgender Klartext der Länge 60 ( Konheim ) ist ENIGMA-chiffriert: 

manyo rgani zatio nsrel yonco mpute 

GRSUZ TLDSZ NKWNE RDPFB OVVQN OBKYI 

rsand datac o mm un icati onsto keept 

QNJRC QLIFR VTPKI LHGQV TMMJY MAJUJ 

Bei der Negativsuche für das 8-Zeichen-Wort Computer sollten für die ersten 
26 Positionen ungefähr 19 (26-0.7307) mögliche Lagen auftreten. Tatsächlich 
sind hier 21 der Lagen nicht auszuschließen und damit gibt es 20 Fehltreffer: 


GRS UZTLDS 
c o mp u t e r 

-> c o mp u t e r 

—► c o mp ute 

—► co mp u t 


Z N K WN ERDPFBOVVQNOBKY I QNJ 


mp u t 


mp u t 


mp u t e r 
o mp ute 
c o mp u t 


mp u t 


mp u t 


mp u t 


mp u t 


mp u t 


mp u t 


mp u t 


mp u t 
o mp u t 
c o 
c 


mp u t e r 

o mp u t e r 

c o mp u t e r 
c o mp u t e r 

—> c o mp u t e r 

•—►co mp u t e r 

c o mp u t e r 
—►co mp ute 
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/Computer/ ist ein sehr kurzes Wort, /oberkommandoderwehrmacht/ (19.7.1) 
wäre da schon besser. Die Auszählung ergibt für die ersten 36 Positionen 
dieses 24-Zeichen-Worts 14 mögliche Lagen — alles Fehltreffer — gegenüber 
erwarteten 36 • 0.3901 = 14.04 . Suchwörter von über 100 Zeichen wären gut 
geeignet: Für n = 128 und ein Textstück der Länge 300 ist 300 • P(n ) « 2. 


14.2 Binäre negative Mustersuche bei Porta-Alphabeten 


Besonders günstige Voraussetzungen für eine negative Mustersuche liegen 
vor, wenn es sich um (polyalphabetische) Involutionen handelt, die nicht nur 
einen Buchstaben auslassen, sondern eine Hälfte des Alphabets in die andere 

abbilden und umgekehrt (PORTA-Chiffrierschritte, vgl. 7.4.4), etwa (Z 2 q) 

2 

{abcd...lm} -<—y {nopq...yz} . 

Das binäre Muster eines Wortes erhält man, wenn man jedes Zeichen durch 
0 oder 1 ersetzt, jenachdem ob es aus der ersten oder der zweiten Hälfte des 
Alphabets ist. 

Angenommen, der selbe Text wie oben ist irgendwie PORTA-chiffriert: 

manyo rgani zatio nsrel yonco mpute rsa 

PRGBF IOZGP LYCNE EDGWS AIKQD OBKJQ CMP 

/Computer/ hat das binäre Muster 01011101 , deshalb ist im Geheim¬ 
text nach vollständiger Nichtübereinstimmung mit diesem Muster zu suchen: 

PRGBFI OZ GPLYCNEEDG WS A I KQDOBKJ QCMP 
110000110101010000110001010001001 

0 10 1110 1 
0 10 1110 1 

0 10 1110 1 
0 10 1110 1 
01011101 
0 10 1110 1 
0 10 1110 1 
0 10 1110 1 
0 1 0 1 110 1 
0 10 1110 1 
0 10 1110 1 
0 10 1110 1 
0 10 1110 1 
0 10 1110 1 
0 10 1110 1 
0 10 1110 1 
0 10 1110 1 
0 10 1110 1 
0 10 1110 1 
0 10 1110 1 
0 10 1110 1 
0 10 1110 1 
0 10 1110 1 
*-> 0 10 1110 1 
0 10 1110 1 
0 10 1110 1 
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In diesem Beispiel führt die Nichtübereinstimmungsprüfung bei erwarte¬ 
ten 26-(^) 8 = 0.102 möglichen Lagen — zu keinem Fehltreffer, im Gegensatz 
zu 20 Fehltreffern vorhin, mit einem ebenso kurzen Wort. Sogar das noch 
kürzere 4-Zeichen-Wort /comp/ mit dem binären Muster 0101 hat nur drei 
Fehltreffer — gegenüber erwarteten 26-(|) 4 = 1.62 möglichen Lagen. Im all¬ 
gemeinen sind bei PORTA-Chiffrierungen wahrscheinliche Wörter mit eini¬ 
gen wenigen Zeichen schon ausreichend, um eindeutig zwischen einem echten 
Treffer oder dem Nicht Vorkommen zu unterscheiden. 

Daß das aus /oberkommandoderwehrmacht/ herrührende 11-Zeichen-Wort 
/kommandoder/ mit dem Muster 

01000101001 


im Klartext dieses Beispiels nicht Vorkommen kann, 
jede Lage zu einem ‘Krach’ führt: 

PRGBFI OZ GPLYCNEEDG WS A I K 
11000011010101000011000 

01000101001 
01000101001 
01000101001 
01000101001 
01000101001 
01000101001 
01000101001 
01000101001 
01000101001 
01000101001 
01000101001 
01000101001 
01000101001 
0100010100 
0 1 0 0 0 1 0 1 0 
01000101 
0 1 0 0 0 1 0 
010001 
0 10 0 0 
0 10 0 
0 1 0 
0 1 
0 


zeigt sich sogleich, da 


QDOBKJ QCMP 
1 0 1 0 0 0 1 0 0 1 


1 

0 1 
0 0 1 
10 0 1 
0 10 0 1 
10 10 0 1 
0 10 10 0 1 
0 0 1 0 1 0 0 1 
000101001 
1000101001 


14.3 Mustersuche bei bekannten Alphabeten - De Viaris 


Für Schieber- und Zylindergeräte mit (voll zyklischen) unabhängigen Alpha¬ 
beten, für die nach 14.1 bereits die negative Mustersuche möglich ist, kann 
der unbefugte Entzifferer noch mehr tun. Dies mußte Etienne Bazeries , der 
große Praktiker der Kryptologie, schmerzlich erfahren, als das von ihm für 
unüberwindlich gehaltene Zylindergerät von seinem Gegenspieler de Viaris 
(vgl. 7.5.3) bloßgestellt wurde. Die Methode von de Viaris 1893 und Fried¬ 
man 1918 setzt übrigens nicht voraus, daß die Alphabete voll zyklisch oder 
echt involutorisch sind. 
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14.3.1 Auch die allgemeine Methode setzt aber nun den Besitz des Gerätes 
voraus. Da die Anzahl der Scheiben oder Lineale systemmäßig keiner Be¬ 
schränkung unterliegt, ist die Anzahl der jeweiligen Anordnungen immer als 
groß genug anzusehen, um eine Exhaustion auszuschließen. Die Periode ist 
systemmäßig fest gelegt; die bekannten Alphabete könnten also gegen Ko¬ 
lonnen monographisch chiffrierter Zeichen geprüft werden (s. 18.2.5); aber 
das Material reicht oft nicht aus, um eine Häufigkeitsanalyse durchzuführen. 

Für den speziellen Fall der Schieber- und Zylindergeräte kommt die schein¬ 
bare Komplikation der Entzifferung durch die Polyphonie des Verfahrens 
hinzu. Angenommen, die Chiffre sei (homophon) in der fc-ten Zeile nach dem 
eingestellten Klartext-Stück (in der fc-ten Generatrix, vgl. 7.5.3) abgelesen 
worden. Man wird regelmäßig mit kleinen Werten von k beginnen und hat 
schlimmstenfalls zwei Dutzend Fälle durchzuprobieren. Ferner sei einfach¬ 
heitshalber angenommen, ein wahrscheinliches Wort oder Textstück sei kurz 
genug, um nicht zerrissen zu werden. 

Nun wird für ein bestimmtes wahrscheinliches Wort und ein gegebenes k fest¬ 
gestellt, welche Zeichen in der fc-ten Generatrix auf der i-ten Scheibe oder 
dem Tten Lineal stehen. Mit dieser Information fährt man am Geheimtext 
entlang und stellt fest, welche Lagen ihn überhaupt ergeben konnten. Ist das 
wahrscheinliche Wort kurz, so erhält man womöglich mehrere Möglichkeiten, 
die exhaustiv weiterzubehandeln sind. Ist das wahrscheinliche Wort lang, so 
ergibt sich vielleicht gar keine Möglichkeit; dann ist zu einer anderen Genera¬ 
trix überzugehen. Gelingt es für keine Generatrix, so kommt das wahrschein¬ 
liche Wort, entgegen der Annahme, nicht vor — oder es wurde zerrissen. 

Am Beispiel des Zylinders von Bazeries sei das Verfahren geschildert, mit 
einem Geheimtext, der auf Angaben von Givierge zurückgeht: 


F S AMC 
L RMQU 
RTMUK 
VREX Z 


RD N F E 
UX RG Z 
HRDOX 
GUG L A 


YH L O E 
NBOML 
L AXOD 
B S E S T 


RTX V Z 
NDNP V 
C R E E H 
VF NGH 


Als wahrscheinliches Wort sei /division/ angenommen. Zu den 20 Zyk¬ 
len von Bazeries (7.5.3, Abb. 56) ergeben sich (für die erste Generatrix) in 
Abb. 97 links in den sieben Spalten die Bildmengen der Klartextzeichen /d/, 
/i/, /v/, /i/, /s/, /i/, /o/, /n/ von /division/. Schiebt man jetzt einen 
Papierstreifen mit dem Geheimtext an diesen Bildmengen entlang, so kann 
man für jede Lage des wahrscheinlichen Wortes feststellen, ob die sämtlichen 
Chiffrenbuchstaben für dieses Wort unter den verfügbaren zu finden sind. 
Beispielsweise ist das nicht der Fall für die folgende Lage 


F S AMC RDNFE YHLOE RTXVZ 
d i v i s i o n 

bei der sich (in der 1. Generatrix) nur die vier fettgedruckten Chiffren (statt 
der erwünschten acht) wiederfinden. Auch für die nächste Lage 
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division 


division 

1 

EJXJTJPO 

1 

HM AM X AS R 

2 

FOXOTOUP 

2 

JBEBZBES 

3 

FOXOTO J P 

3 

ILELZLMQ 

4 

CHUHRHNM 

4 

Z EREOEK J 

5 

CQTQRQIM 

5 

UMOMQMN E 

6 

C E T E R E I M 

6 

UXQXNXZ J 

7 

PJBJEJNS 

7 

JVKVDVFT 

8 

TEDEPEYH 

8 

MU J UDU F X 

9 

EJXJLJPO 

9 

L NHN I NVU 

10 

I E X E V E T C 

10 

P RDR Z RA J 

11 

BTITCTUD 

11 

HS L SRS NG 

12 

GCYCACRP 

12 

KBRBUB ZV 

13 

NRYRAR I S 

13 

UTLTBTMX 

14 

FBXBVBNE 

14 

KFHFZFRT 

15 

FNXNTNP S 

15 

KRNRERXU 

16 

KMXMVMG F 

16 

SOJOZORH 

17 

FEXEOENA 

17 

J OYOBOCD 

18 

I UXUTUMQ 

18 

BCLCUCRY 

19 

FJLJUJNT 

19 

J Q F QMQZ A 

20 

GJXJTJUO 

20 

J PNPAPET 


Abb. 97. Bildmengen von /division/ , 

links 1. Generatrix (mit FSAMCRDN) , rechts 4. Generatrix (mit HLOERTXV) 


FSAMC RDNFE YHLOE RTXVZ 
d i v i s i o n 

finden sich (in der 1. Generatrix) nur die vier fettgedruckten Chiffren (statt 
acht) wieder. Für die übernächste Lage 

FSAMC RDNFE YHLOE RTXVZ 
d i v i s i o n 

sieht es nicht besser aus. So kann man fort fahren und für alle weiteren Lagen 
von /division/ die 1. Generatrix ausschließen. 

Nun wendet man sich einer anderen Generatrix zu. Abb. 97 rechts zeigt für 
die 4. Generatrix die Bildmengen von /division/ mit den gleichen 20 Alpha¬ 
beten. Beginnt man wieder ganz links, so ergibt sich erstmals für die Lage 

FSAMC RDNFE YHLOE RTXVZ 
d i v i s i o n 

ein Treffer: Alle acht (fettgedruckten) Chiffren sind in der Bildmenge, und 
sieben von ihnen finden sich sogar nur einmal, legen also das zugehörige 
Alphabet fest. Lediglich für H hat man, wie Abb. 97 rechts zeigt, die Qual 
der Wahl zwischen dem ersten und dem elften Alphabet. 

14.3.2 An dieser Stelle geht eine weitere Kenntnis über das System in die 
Kryptanalyse ein. Prinzipiell könnte auch ein unabhängiges Alphabet, so 
wie begleitende Alphabete, mehrfach verwendet werden. Für Zylinder- und 
Schiebergeräte gilt aber üblicherweise, daß jede Scheibe bzw. jedes Lineal 
nur einmal vorhanden ist und innerhalb der Periode genau einmal verwen¬ 
det wird. Dieser Bedingung entspräche bei VIGENERE-Schritten, daß im 
Schlüsselwort jedes Zeichen nur einmal vor kommt. Während es dort dafür 
sorgt, daß die Alphabete der einzelnen Kolonnen nicht kumuliert werden 
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^progressive Chiffrierung 6 , 8.4.2), liegt hier, sobald die Alphabete in Fein¬ 
deshand gefallen sind, offensichtlich eine complication illusoire vor. 

Unter der insbesondere für den Zylinder von Bazeries geltenden Annahme 
kann nun für H = d das elfte Alphabet ausgeschlossen werden, da es bereits 
eindeutig für R = s benötigt wird. Also ergibt sich die folgende Anordnung 
von acht der 20 Zylinder 

***** ***** *1354 11131512* 

Sollte das kein Fehltreffer sein, so müßte sich im Abstand von 20 Zeichen 
jeweils wieder eine Entzifferung ergeben. Man erhält für die Lage 

LRMQU UXRGZ NBOML NDNPV 


1 

3 

5 4 

11 

13 15 

12 


z 

h 

p n 

r 

my 

k 

24. 

a 

i 

nm 

a 

t i 

n 

<- 

B 

O 

ML 

N 

DN 

P 

1 . 

c 

j 

1 k 

d 

n s 

q 

2. 

d 

k 

k j 

b 

s t 

t 

3. 


eine überzeugende Entzifferung /ainmatin/ : Für diese Runde wurde also 
die 1. Generatrix benutzt. Weiterhin erhält man im Abstand von 40 Zeichen 

RTMUK HRDOX LAXOD CREEH 


13 5 4 

1113 15 12 


AXOD 

CRE E 

22. 

b z i c 

o e z z 

23. 

c a q b 

um 1 1 

24. 

d e p a 

r t a s 

<- 

e b n z 

a d j a 

1 . 


die überzeugende Entzifferung /departas/ , es wurde also für diese Runde die 
22. Generatrix benutzt. Die Polyphonie macht keine Schwierigkeiten mehr. 

/departas/ kann man nun auf zweierlei Weise ergänzen: zu /departasix- 
heures/ oder zu /departaseptheures/ . Bedenkt man, daß 6 Uhr für die 
französische Armee schrecklich früh wäre, so wird man es vielleicht zunächst 
versuchen mit /departaseptheures/ als wahrscheinlichem Wort, das zerrissen 
wird in /departase/ und /ptheures/ . Letzteres ergibt in der unmittelbar 
anschließenden Lage (die Bildmenge von /ptheures/ mit der 3. Generatrix 
zeigt Abb. 98, die Chancen für einen Fehltreffer stehen 1:206) den Treffer 

VREXZ GUGLA BSEST VFNGH 
ptheu res 

der auch die Position von vier weiteren, nicht verbrauchten Zylindern festlegt: 
R = t erfordert den 7., X = e den 6., G = r den 10., G = s den 9. Zylinder. In 
Abb. 98 sind die bisher bestimmten Zylinder markiert. Von den verbleibenden 
verlangt nunmehr Z = u eindeutig den 17. Zylinder, während drei Fälle offen 
bleiben: ob zu V = p der 16. oder der 20. Zylinder gehört, zu E = h der 14. 
oder der 18. Zylinder, zu U = e der 2. oder der 8. Zylinder. 
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ptheures 

•1 SXKHYUHV 
2 S Z L U C VUX 
•3 QZJDRVDX 

• 4 MQE B R O B P 
•5 LODHVQHI 

• 6 LQDX E NXP 

• 7 JRQDBUDT 
8 DMX U L S UV 

• 9 VFYL Z DLG 

• 10 TAMROGRY 

• 11 Y S MT NDTU 

• 12 VFNSDZSC 

• 13 YSPDCTDX 
14 BIETPATY 

• 15 XEOALZAU 

16 VBCGDUGY 

17 UXPOZLOA 

18 TUESCDSI 

19 SABCMXCY 

20 VAKCEYCL 

Abb. 98. Bildmengen von /ptheures/ , 3. Generatrix (mit VREXZGUG) 

Es ergibt sich folgende Verteilung von 19 der 20 Zylinder 

20 7 18 6 17 10 8 9 * * * 1 3 5 4 11 13 15 12 * 

Die restliche Entzifferung ist eine Kleinigkeit; die bereits fest gestellte An¬ 
ordnung von 13 der Zylinder gibt die fragmentarische Entzifferung 


FSAMC RDNFE YHLOE RTXVZ 

* a * r o i * i * * * d i v i s i o n * 

LRMQU UXRGZ NBOML NDNPV 

* p * r t e * a * * * a i n m a t i n * 

RTMUK HRDOX LAXOD CREEH 

* r * e i m * s * * * d e p a rtase 

VREXZ GUGLA BSEST VFNGH 
ptheu res** *pxxx xxxx* 

in der weitere Bruchstücke /la troisieme/ , /demain/ 
sofort ergänzt werden können und alle Positionen bis 
auf die 20. festlegen. Für diese verbleibt dann der 
14. Zylinder. Die komplette Reihenfolge der Zylinder, 
der Schlüssel, kann so zu 

16 7 18 6 17 10 8 9 20 19 2 1 3 5 4 11 13 15 12 14 

rekonstruiert werden und liefert (beachte die auffüllenden Blender am Ende) 


F S AMC 

RDNFE 

YHLOE 

RTXVZ 

1 a t r o 

i s i e m 

e d i v i 

sions 

L RMQ U 

UXRGZ 

N B OML 

NDNPV 

e p o r t 

e r a d e 

m a i 

i n m 

a t i n s 

RTMUK 

HRDOX 

LAXOD 

CREEH 

u r r e i 

m s s t o 

p d e p a 

rtase 

VREXZ 

GUGLA 

B S I 

5 S T 

VFNGH 

ptheu 

resst 

o p X X X 

X X X X X 



Marquis de Viaris 
(1847-1901) 


Total probability of hit 

12 V 13 V 14 V 13 V 13 V 14 V 13 V U 
25 A 25 25 25 25 25 A 25 A 25 

» 1 : 206 

e ^ {A, B, C, D, G, H, L, O, R, S, T, U, X} 
h (B, C, D, E, J, K, L, M, N, O, P, Q, X, Y} 

p {b, d, j, l, m, q, s, t, U, V, X, y} 

r {A, D, G, L, N, O, Q, S, T, U, V, X, Y, Z} 
s {A, C, G, I, L, P, T, U, V, X, Y} 
t {A, B, E, F, I, M, O, Q, R, S, U, X, Z} 

u {A, B, E, F, I, M, O, Q, R, S, U, X, Z} 
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14.3.3 Auch beim Fehlen eines wahrscheinlichen Wortes ist die periodische 
polyalphabetische Chiffrierung mit bekannten, unabhängigen Alphabeten an¬ 
greifbar: Givierge (1925) folgend, zieht man häufige Bigramme, Trigramme 
und Tetragramme heran. Wir zeigen das am Beispiel der französischen und 
englischen Allerweltsendung /ation/. Für jede Generatrix und für jedes 
Klartextzeichen wird die Menge der zugehörigen Geheimtextzeichen vorfa¬ 
briziert. In Abb. 99 findet man für die erste Generatrix die Bildmengen; die 
Chancen stehen 1:51, Fehltreffer sind also noch recht selten zu erwarten. 


ation 


1 B U J P O 

2 E VOUP 

3 E VO J P 

4 ZS HNM 

5 J S Q I M 

6 Z S E I M 

7 L D J N S 

8 VO E YH 

9 RSJPO 

10 F G E T C 

11 N Z TUD 

12 IVCRP 

13 UDR I S 

14 I P B N E 

15 J RN P S 

16 I HMG F 

17 B U E N A 

18 BDUMQ 

19 C E J N T 

20 C E J U O 


Total probability of hit 

12 y liyi2 y 10 y 12 
25 25 25 25 25 

« 1 : 51 


a i—^ {B, C, E, F, I, J, L, N, R, U, V, Z} 
t {D, E, G, H, O, P, R, S, U, V, Z} 

i i—* {b, c, e, h, j, m, n, o, q, r, t, u} 

o i—* {G, I, J, M, N, P, R, T, U, Y} 
n i—* {A, C, D, E, F, H, M, O, P, Q, S, T} 


Abb. 99. Bildmengen von /ation/, 1. Generatrix 


Sowohl die Technik von de Viaris und Friedman wie die letzterwähnte von Gi¬ 
vierge , die versuchen, viele kleine Inseln zu finden und zusammenzuschließen, 
sind mit Arbeitsplatzrechnern leicht mechanisierbar. Nicht ohne Stolz be¬ 
merkt Givierge , daß man sich dank eines ^mot probable » Quintillionen von 
Versuchen ersparen kann. 

14.3.4 Die allgemeine Methode von de Viaris zur Einengung des Suchraums 
setzt, wie oben gesagt, nicht voraus, daß die Alphabete voll zyklisch oder echt 
involutorisch sind. Sie hat aber mit der negativen Mustersuche nach 14.1 und 
14.2 gemeinsam, daß systematisch untersucht wird, welche Menge von Ge¬ 
heimtextzeichen zusammen mit einem Klartextzeichen auftreten kann. Für 
den Entzifferer ist es umso besser, je kleiner diese Menge ist. Andrerseits 
bricht dieses Vorgehen und damit auch die allgemeine de Viaris-Methode 
zusammen, wenn jede der Mengen die volle Menge der Klartextzeichen ist. 
Dies erfordert eine besonders sorgfältige Zusammenstellung der Alphabete. 
Ein Chiffrierschrittsystem mit dieser defensiven Eigenschaft nennen wir ein 
transitives Chiffrierschrittsystem. Notwendigerweise ist dann die Anzahl 
der Alphabete größer oder gleich N. Dies war bei Bazeries Zylinder verletzt. 
Die M-138-A der U.S.A. benutzte 30 Lineale, die aus 50 oder 100 wechselnd 
ausgewählt wurden, und man kann erwarten daß die Auswahl stets so ge¬ 
schah, daß ein transitives Chiffrierschrittsystem entstand. 



280 14 Polyalphabetischer Fall: Wahrscheinliche Wörter 

Die Anzahl der Alphabete ist kleiner oder gleich TV, wenn die Shannon- 
Eigenschaft (2.6.4) vorliegt, daß jedes Paar von Klartext- und Geheimtext¬ 
zeichen das Alphabet eindeutig festlegt. Für ein transitives Shannonsches 
MULTIPLEX-Chiffriersystem hat man also TV Alphabete von je TV Zeichen, 
sie bilden ein lateinisches TVxTV-Quadrat (7.5.4). Die M-94 der U.S.A., mit 25 
MULTIPLEX-Schritten, hatte Alphabete, die, zusammen mit der Identität, 
(fast) ein lateinisches 26x26-Quadrat bilden (7.5.4, Tabelle 2). 

14.3.5 Der französische Marquis Gaetan Henri Leon de Viaris (gallisierter di 
Lesegno) wurde am 13. Februar 1847 in Cherbourg geboren, sein Vater war 
Artilleriehauptmann. Mit 19 Jahren kam de Viaris auf die berühmte Ecole 
Polytechnique. Mit 21 ging er zur See, später wurde er Polizeipräfekt und 
schließlich Infanterieoffizier. Sein Interesse für die Kryptologie erwachte um 
1885; er betätigte sich zuerst als Erfinder einer der ersten druckenden Chif¬ 
friermaschinen. Sicherlich war er nach Babbage der erste, der mathematische 
Beziehungen in der Kryptologie einsetzte, nämlich 1888 bei der Charak¬ 
terisierung linearer Substitutionen in einer Reihe von Artikeln. 1893 schrieb 
er dann die kryptanalytische Abhandlung L’art de chiffrer et dechiffrer les 
depeches secretes , die ihn berühmt machte. 1898 publizierte er auch einen 
kommerziellen Code. Er starb am 18. Februar 1901. 

Marcel Givierge baute als Major beim Ausbruch des 1. Weltkriegs eine Ent¬ 
zifferungsabteilung des französischen Generalstabs auf. 1925, als sein Buch 
Cours de Cryptographie erschien, war er Oberst; er wurde später zum General 
befördert. 

Unter Givierge arbeitete George Jean Painvin , ein genialer Entzifferer und 
vielseitiger Mann, der Paläontologie studiert hatte und nach dem 1. Weltkrieg 
ein bedeutender Wirtschaftsführer wurde. 

14.3.6 In der besonderen Situation im Nachkriegsdeutschland, als der FIAT 
Review of German Science geschrieben wurde, konnte es geschehen, daß es 
zu einem der wenigen offenen und erhellenden Berichten über erfolgreiche 
kryptologische Aktivitäten hoheitlicher Dienste kam. In der Reihe über An¬ 
gewandte Manthematik berichtete Hans Rohrbach über Kryptologie und gab 
tiefe Einblicke in die ,Chiffrierphilosophie 6 der deutschen Seite; da er um¬ 
fassend berichtete, gibt er indirekt auch Aufschluß über deren Lücken im 
kryptologischen, insbesondere im kryptanalytischen Kenntnisstand. 

Rohrbach publizierte 1979 einen 1945 verfaßten Bericht, der im Detail schil¬ 
dert, wie systematisch und umfassend ab November 1943 eine MULTIPLEX- 
Chiffrierung, nämlich die ,American Strip Cipher 0-2 6 (wie er es nennt) 
— eine Version der M-138-A für den Diplomatischen Dienst der U.S.A. — ge¬ 
brochen wurde durch eine Gruppe („Sonderdienst Dahlem“) im Auswärtigen 
Amt, Pers Z, unter maßgeblicher Mitwirkung der Mathematiker Werner Kun¬ 
ze, Hans Rohrbach , Annelise Hünke , Erika Pannwitz , Hansgeorg Krug , Hel¬ 
mut Grunsky — Linguisten wie Hans-Kurt Müller , Asta Friedrichs , Joachim 
Ziegenrücker , Ottfried Deubner nicht zu vergessen. Wie Rohrbach berichtete, 
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begann die Arbeit mit der Sammlung und Aufbereitung eines umfangrei¬ 
chen aufgefangenen Spruchmaterials, hauptsächlich aus der und in die U.S.- 
Botschaft in Bern, wo Allen W. Dulles {Office of Strategie Services ) residierte. 
Dabei fiel auf 

1. das häufige Vorkommen von Parallelen, auch längeren, aber nie über mehr 
als 30 Zeichen gehend und häufig mit dem 15. Zeichen abbrechend, 

2. das gehäufte Vorkommen von Parallelen in Sprüchen des selben Tages, 
jedoch nie in zwei Sprüchen an verschiedenen Tagen des selben Monats, 

3. das Nicht Vorkommen von Parallelen zwischen einem Spruch vor und einem 
Spruch nach dem 1. August 1942. 

Man zog daraus den Schluß, daß immer 15 Zeichen (eine ,Linie 4 ) in der glei¬ 
chen Weise chiffriert wurden (Periode 15), gelegentlich sogar 30 Zeichen; daß 
der Schlüssel täglich wechselte, aber mehrfach verwendet werden konnte, und 
daß am 1. August das Chiffriersystem grundlegend geändert worden war. 

Als Arbeitshypothese durfte also eine polyalphabetische Chiffrierung der Pe¬ 
riode 15 angenommen werden, und zwar vermutlich keine polygraphische. Es 
war anzunehmen, daß insgesamt mehr als 15 Alphabete, vermutlich 30, zur 
Verfügung standen. 

Bekannt war ferner eine Vorliebe der U.S.-Dienste für Zylinder- und Schie¬ 
bergeräte. Rohrbach kannte aber die Alphabete nicht, ein klassischer de 
Viaris-Angriff wäre nicht möglich gewesen. 

Untersuchungen unter Einsatz von Hollerith-Tabelliermaschinen ergaben 

4. wenn die Nachrichten in Blöcke (,Linien 4 ) von 15 Zeichen zerlegt wurden, 
erschienen alle Parallelen mit einer Länge von mindestens 8 Zeichen vertikal 
untereinander, also in den selben Positionen (,phasenrein 4 ). 

Dies bestätigte die Annahme einer monographischen polyalphabetischen 
Chiffrierung der Periode 15; überdies führte die Annahme, daß sich stereo¬ 
type Floskeln ( 4 From Murphy’, ‘Strictly Confidential’) am Anfang fanden, zu 
der Vermutung, kein Buchstabe ginge in sich über, und zwei identische Klar¬ 
textbruchstücke in der selben Periodenlage ergäben nicht den selben Geheim¬ 
text. Dies alles mündete in den Verdacht, daß eine polyphone Chiffrierung 
mit MULTIPLEX-Chiffrierschritten vorlag und keine Maschinenchiffrierung. 
Somit mußten für jeden Tag 15 oder 30 Alphabete rekonstruiert werden. 

Die Ernte war allerdings, dank der Mitteilsamkeit der U.S. Botschaft in Bern, 
mit täglich durchschnittlich 15 Nachrichten aus durchschnittlich 40 Blöcken 
von 15 Zeilen, mehr als reichlich. Die Blöcke (,Linien 4 ) mußten zuerst in 
,Familien 4 gruppiert werden. Eine ,Familie 4 bestand aus allen Sprüchen mit 
gleichem Schlüssel, die also mit ein und demselben Satz von Alphabeten in 
gleicher Anordnung — vermutlich aus mehr als 15 ausgewählt — chiffriert 
waren. Zu einer ,Klasse 4 wurden zusammengefaßt die 25 Familien, die den 
25 verschiedenen Generatrizen (N = 26) entsprachen. Unter massivem Ein¬ 
satz von Lochkartenmaschinen und von Sonderanfertigungen, worum sich 
besonders Krug verdient machte, wurde in kleinen Schritten das Material zu 
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Familien verdichtet und diese in Klassen eingeteilt; die umfangreichste dieser 
Klassen (Klasse III) mit ungefähr 3 000 Linien umfaßte 25 Familien mit je 60 
bis 150 Linien. Man fand zunächst roh knapp 50 Klassen, am Ende war das 
gesamte Material genau 40 verschiedenen Klassen zugeordnet, wobei nur we¬ 
nig Material, von Tagen mit geringem Verkehr stammend, unberücksichtigt 
bleiben mußte. Die Rekonstruktion der Alphabete einer solchen Klasse setzte 
dann an phasenreinen Bigramm- und Trigrammparallelen zwischen den Li¬ 
nien an, in geradliniger Fortsetzung der Überlegungen von Givierge. Der 
Einbruch gelang über das häufig vorkommende Tetragramm /tion/ und das 
Pentagramm /ation/, unterstützt von den Bigramm-Drillingen /in/, /an/, 
/on/ und /in/, /an/, /un/. Rohrbach beschreibt eindringlich, wie langsam 
Keime der Lösung durchschimmerten, wie sich dann Lücken füllen ließen und 
schließlich das Unternehmen „aus eigener Kraft“ lief. Der Erfolg war garan¬ 
tiert, als die ersten 2x15 Alphabete, nämlich die der Klasse III, bestimmt 
waren. Die Betrachtung anderer Klassen brachte eine Erweiterung auf ins¬ 
gesamt 50 Alphabete, die vollständig bestimmt wurden, dazu traten die 40 
schließlich fest gestellten Tagesschlüssel — man weiß heute, daß dies den Fak¬ 
ten entsprach. 

So konnte schließlich alles aufgefangene Material der Geräte 0-2 entziffert 
werden konnte. Um dies zu beschleunigen (von Hand konnte eine Person 
pro Schicht knapp 100 Linien bewältigen), baute Kunze eine halbautomati¬ 
sche Vorrichtung, die dem Auswerter das Einstellen der Streifen abnahm; 
er hatte nur noch die richtige Generatrix zu finden. Damit war es möglich, 
das gesamte Material innerhalb eines Monats zu entziffern. Leider ging, je 
besser es klappte, umso weniger neues Material ein: Mitte 1944 stellte das 
State Department auf ein moderneres und sichereres Chiffrierverfahren mit¬ 
tels der von der U.S.Army gelieferten SIGTOT-Maschinen mit individuel¬ 
lem Schlüssel um. Außerdem mußte der Sonderdienst Dahlem erst vor dem 
Bombenterror in Berlin und dann vor der nach Schlesien vorrückenden So¬ 
wjetarmee flüchten. Nicht besser erging es übrigens dem „Forschungsamt“ des 
Reichsluft fahrt ministeriums, Görings Abhördienst. 

Die Japaner versuchten sich auch an der CSP-642, waren aber nicht sehr 
erfolgreich: Kahn meint, sie hätten de Viaris , Friedman (und Givierge ) ge¬ 
nauer studieren sollen. Wieviel den Russen gelang, ist unbekannt. 


14.4 Zick-Zack-Exhaustion möglicher Wortlagen 

Wird bei einem polyalphabetischen Verfahren ein Schlüssel in verständlicher 
Sprache verwendet, so darf man erwarten, daß es auch darin wahrscheinliche 
Wörter 6 gibt. Damit besteht eine weitere Angriffsmöglichkeit: Die möglichen 
Lagen eines im Schlüssel vermuteten Wortes sind dadurch bestimmbar, daß 
die Dechiffrierung des Geheimtextes mit diesem Schlüsselbruchstück einen 
vernünftigen Klartext ergibt. 
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14 . 4.1 Genauer gesagt: Sind bei einem polyalphabetischen Verfahren das 
Referenzalphabet oder die unabhängigen Alphabete, somit auch die Chiffrier¬ 
schritte und die Dechiffrierschritte bekannt und ist auch bekannt, welche 
Schlüsselzeichen diese Alphabete kennzeichnen, so kann exhaustiv die par¬ 
tielle Dechiffrierung versucht werden dabei braucht die Chiffrierung gar 
nicht periodisch zu sein. Als Beispiele mögen monographische oder poly¬ 
graphische lineare Substitutionen dienen, bei denen das Referenzalphabet 
bekannt ist. Diese Möglichkeit wurde schon 1846 von Charles Babbage für 
VIGENERE- und BEAUFORT-Chiffrierungen studiert. Auch ALBERTI- 
Chiffrierungen und PORTA-Chiffrierungen mit bekanntem Referenzalphabet 
sind diesem Angriff ausgesetzt. 

Beispielsweise sei von dem Geheimtext 

BAWI S ME WO OP G V R S F I BBTJ TWL HWWAHTMJ VBTZ RRE 

bekannt, daß er über Z 26 mit VIGENERE-Schritten (Cj = pj + kj ) chiffriert 
ist und daß als Alphabet das Standardalphabet dient, ferner daß die Sprache 
vermutlich Englisch ist. Als wahrscheinliches Wort im Schlüssel könnte man 
dann jedenfalls THE erwarten. Dechiffrierung damit (pj = Cj — kj) ergibt, 
wenn man ganz links beginnt, der Reihe nach die Klartextbruchstücke 

Vits/, 2 / hpe /, V dbo A 4 /pli/, 5 /zfa/, 6 /txs/, 7 /lpk/, 8 /clhk/, 9 / v hl/, 10 /vic/, 
11 /wzr/, 12 /non/, 13 /cko/, 14 /ylb/, 15 /zye/, 16 /mbx/, 17 /pux/, 18 /iup/ .... 

Offensichtlich können mit einem so kurzen Wort nicht sehr viele Lagen aus¬ 
geschlossen werden; die erste, zweite, dritte, vierte, siebte usw. (durch Un¬ 
terstreichen markiert) könnten passen. Als nächstes möchte man vielleicht 
das Wort TRAT versuchen, das siebthäufigste im Englischen. Damit erhält 
man nacheinander die Klartextfragmente 

Vitwp/, 2 /hpiz/, 3 /dbst/, A /p\m\/, 5 /zfed/, 6 /t xwv A 7 Ap ov A 8 /dhow/, 
9 /vhpn/, 10 /vigc/, 11 /wzvy/, 12 /norz/, 13 /cksm/, 14 /ylfp/, 15 /zyn/, 
16 /mbbi/, 17 /puba/, 18 /iutq/, ... 27 /dtha/, 28 / hatt / ... ; 

von diesen sind nur wenige (unterstrichene) akzeptabel. 

Auch dieses Verfahren kann mit Alphabetstreifen mechanisiert werden. 

14 . 4.2 Das Verfahren kann auch umgekehrt durchgeführt werden, wenn 
Geheimtextzeichen und Klartextzeichen das Schlüsselzeichen eindeutig be¬ 
stimmen, wenn es sich also um eine Shannonsche Chiffrierung handelt. Dies 
ist etwa bei linearen Substitutionen mit bekanntem Referenzalphabet eben¬ 
falls der Fall. Im obigen Beispiel könnte als nicht zu kurzes wahrscheinliches 
Wort im Klartext /should/ dienen. Dies würde (ki = q ~Pi) der Reihe nach 

l JTIOHJ , 2 IPUYBB , 3 EBESTT , 4 QLYKLL , ... 

ergeben, wobei von den ersten vier Positionen wieder drei ausgeschlossen 
werden können. 
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14.4.3 Weder das eine (14.4.1) noch das andere Vorgehen (14.4.2) geben für 
sich allein viel her. Beide Möglichkeiten können aber in einem Zick-Zack- 
Wechselspiel (engl, cross-ruff) kombiniert werden zu einer leistungsfähigen 
Methode, die Friedman 1918 angab. 

In unserem Beispiel sei in der achten Position 8 / dhow /, das Gegenstück zu 
8 THAT , herausgegriffen. Man könnte vermuten, daß es verlängert werden 
kann zu 8 / dhowever /. Dies führt auf der Seite des Schlüssels zu der Ver¬ 
längerung 8 THATCANB . Des weiteren hat 3 / should / in der dritten Position 
eine einbuchstabige Überlappung mit 8 / dhow A zusammengenommen ergibt 
sich 3 / shouldhowever / und als Gegenstück s EBESTTHATCANB . l THE 
in der ersten Position hat als Gegenstück yits/, das überlappt sich und er¬ 
gibt die Verlängerungen V itshouldhowever / und *T HEBESTTHATCANB . 
Letzteres läßt an 1 THEB ES TT HA T CANBE denken, dessen Gegenstück 
V itshouldhoweverb / zu V it shouldhoweverbe / ergänzt werden kann. 

Das Methodische in diesem Vorgehen liegt wieder in der Schaffung von Kei¬ 
men, die zu Inseln erweitert werden und schließlich zusammenfließen. Das 
Auftreten von 2 7 dtha / als weiteres Gegenstück zu 2 7 THAT reizt dazu, die 
Verlängerung zu 2 7 dthat / zu untersuchen, mit dem Gegenstück 2 7 THATT ; 
dies verlängert zu 2 7 THATTHE führt zurück zu 27 / dthatcr / und der, zuge¬ 
gebenermaßen kühne Versuch einer Fortsetzung mit 2 7dthatcrypt/ hat Er¬ 
folg, er führt zu 2 7 THATTHEDEG was wiederum 2 7 THATTHEDEGREE 
nahelegt und als Gegenstück 2 ydthatcryptana/. 

Auf diese Weise fortgesetzt, ergibt sich die vollständige Entzifferung (vgl. die 
Zitate in der Einleitung zum Teil II) 

itshoul dhoweverbee mp has izedthatcryptana 

THEBESTTHATCANBEEXPECTEDIS THATTHEDEGREE 

Es ist also gefährlich, einen Schlüsseltext in einer gebräuchlichen Sprache zu 
benützen. Nichtperiodischer Schlüssel verhindert die Zick-Zack-Exhaustion 
nicht; es kommt nur darauf an, daß sowohl der Schlüsseltext wie auch der 
Klartext deutlich mehr als 50% Redundanz hat. 

14.5 Isomorphie-Methode 

ROTOR-Chiffrierungen leiden unter dem Defekt, daß ihre Alphabete kein 
lateinisches Quadrat bilden müssen. Dadurch wird ein Angriffsweg eröffnet. 

14.5.1 Dies zeigt sich besonders bei der Isomorphie-Methode, die schon 
1935 von Alfred Dillwyn Knox (1885-1943) bei einem Bruch der italienischen 
kommerziellen ENIGMA und 1937 gegen Franco in Spanien benutzt wurde, 
aber in der offenen Literatur erst 1946 von Rosario Candela beschrieben 
wurde. 

Die Isomorphie-Methode wurde für den Fall der kommerziellen ENIGMA 
als ^ methode des bätons », ‘cliques on the rods’ oder ‘ rodding’ bezeich¬ 
net; sie war der Hauptgrund für die Einführung des Steckerbrettes bei der 
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Wehr macht s-ENIGMA. Im spanischen Bürgerkrieg von 1938-1939 wurden 
kommerzielle ENIGMAs von allen Seiten — Briten, Deutsche, Italiener, spa¬ 
nische Republikaner — eingesetzt, bei der italienischen Kriegsmarine noch 
1941; entsprechend wurde allseits die Isomorphie-Methode benutzt. 

Die polyalphabetische Substitution sei von der Form (Pi Klartextzeichen, q 
G eheimtextzeichen) 

Ci =PiSiU Sp 

mit bekannten Alphabeten *%, deren Reihenfolge ebenfalls bekannt ist — der 
unbekannte Schlüssel besteht aus dem Anfangsindex der Folge und allenfalls 
aus U . Bildet man nun die isomorphen (vgl. 2.6.3) Folgen cßi und piSi , 
so gilt 

— PiS% ’ U , 

die Folge (ciSi) ist also monoalphabetisches Bild der Folge (piSi) unter 
der Substitution U , die damit durch eine vollständige Klartext-Geheimtext- 
Kompromittierung genügend langer Texte aufgedeckt ist. 

Zwei beliebige Folgen sind im allgemeinen selbstverständlich nicht isomorph: 
Die Folgen (alle ...) und (gang ...) sind nicht isomorph, weil die Paare 
(l,a) und (l,n) , wie auch die Paare (a,g) und (e,g) widersprüchlich sind 
(„kreischen“, engl, screech, scritch). 

Zur Kryptanalyse kommt es also nur darauf an, für ein gegebenes wahr¬ 
scheinliches Wort einen passenden Anfangsindex i zu finden derart, daß für 
das (Pz,Pz+i,. • -Pi+k) lautende Wort (PiS l1 p l +iS l +i 1 .. .p; + / c S'z+/e,) und 
(ciSi, Q+iS'i+i,... Q+fc*%+*;,) isomorph sind. Widersprüche führen zur Aus¬ 
schließung des Indexes. Unter den passenden Indizes ist sicher auch der rich¬ 
tige, wenn das wahrscheinliche Wort phasenrichtig zum Geheimtext steht; je 
länger das wahrscheinliche Wort ist, umso weniger wird man mit Fehltreffern 
rechnen müssen. Exhaustiv muß im übrigen die Phasenlage des wahrschein¬ 
lichen Worts bestimmt werden. 

Die obige Voraussetzung liegt insbesondere vor im Fall der rotierten Stan¬ 
dardalphabete (7.2.2) mit { p~ l Rp l : i E IN } . Spezifisch hat man diese 
Situation bei den kommerziellen Maschinen ohne Steckerbrett ENIGMA C 
und ENIGMA D, mit 3 Rotoren und einer festen oder beweglichen Umkehr¬ 
walze (vgl. 7.3.2) mit 

S(i u i 2 ,i 3 ) = P~ n Rn P n ~ 12 Rm P %2 ~ 13 Rl P 13 bzw. 

= P~ H Rn P ll ~ 12 Rm P l2 ~ 13 Rl P %3 ~ U ’ 

wenn erst einmal alle verwendeten Rotoren aufgeklärt sind wie es bei 
einer kommerziellen Maschine ohnehin der Fall war — und ihre Lage be¬ 
kannt ist (schlimmstenfalls sind bei einer 3-Rotor-ENIGMA sechs Walzen¬ 
lagen durchzuspielen). Überdies ist in diesem Fall die Isomorphie nun auf 
involutorisches U beschränkt, es ergeben sich also weitere Möglichkeiten des 
„Kreischens“ und damit der Ausschließung einer Rotorstellung wie auch die 
positive Bestätigung einer passenden Rotorstellung durch Auftreten einer 
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Involution. Die Möglichkeit von Fehltreffern wird dadurch verringert; der 
involutorische Charakter erleichtert die unbefugte Entzifferung. 

Dank der Regelmäßigkeit der Fortschaltung der Rotoren bei der ENIGMA 
(vgl. 8.5.3) ist es im allgemeinen unnötig, alle 26 3 =17 576 bzw. 26 4 =456 976 
Rotoralphabete durchzuprobieren. Es genügt in der Regel, nur die 26 Stellun¬ 
gen des „schnellen“ Rotors Rn zu betrachten, die zwischen zwei Schritten des 
„mittleren“ Rotors Rm hegen. Die beiden anderen Rotoren bleiben solange 
fest und bilden zusammen mit U eine Pseudo-Umkehrwalze 

U[ i2ii3) = p~ 12 Rm P l2 ~ 13 Rl P l3 -U • p -* 3 R m p l3 ~ %2 Rl p 12 bzw. 

U (l2,l3M) = P ~ %2 RM P%2 ~ 13 RL P%3 ~ U ’ U ’ plA ~ 13 RM pl3 ~ 12 RL P 12 5 
mit Si=p~ l R n p l hat man c l S l = PiSi-U'^^ bzw. c l S l = p l S l • 

14.5.2 Für die praktische Durchführung der Isomorphie-Methode gibt es 
wieder ein Streifen-Verfahren, bei dem als Streifen die einzelnen Spalten der 
rotierten Alphabete benutzt werden. Nach einem Beispiel von Deavours und 
Kruh sei folgende Kompromittierung zu untersuchen 

reconnai ssance 
UPYTEJ OJ ZEGBOT 

Versuchsweise soll der Rotor I der Wehrmachts-ENIGMA benutzt werden. 
Die Spalten der zu den einzelnen Klartextbuchstaben gehörigen, durch die 
Rotorstellung bestimmten Chiffren sind in 7.3.5 zu ünden. Klartextfrag¬ 
ment und Geheimtextfragment werden mit den Streifen gebildet. Die Ge¬ 
genüberstellung zeigt Abb. 100. In jeder Zeile, mit Ausnahme der mit der 
Rotorstellung i — 2 bezeichneten, ergeben sich Widersprüche (jeweils ei¬ 
ner ist durch Fettdruck hervorgehoben). In der zu i = 0 gehörigen Zeile 
beispielsweise verletzen die Paare A Q und H Q wie auch B N und D N die 
Injektivität, des weiteren R Y und R D die Eindeutigkeit der Chiffrierung, 
ferner verstoßen U A und A Q , wie auch F W und W I , Q R und R D , 
aber auch X U und U A , A Q und Q R, B N und N G , D N und N G , H Q 
und Q R gegen die involutorische Eigenschaft. In der zu i = 2 gehörigen 
Zeile dagegen ünden sich die Zweierzyklen (J U), (MC), (S E) und die 
Bedingung der Involution ist nicht verletzt; dieser einzige Treffer (engl, hit ) 
ergibt folgendes isomorphe Paar von Klartext und Geheimtext 

j gmgf uhrwcnsew 
UZCZBJ OTAMQESA 

Damit ist der Rotor I als „schneller“ Rotor Rn nachgewiesen. Überdies 
ergeben sich aus den vierzehn Zeichenpaaren bereits neun Zweierzyklen der 
Pseudo-Umkehrwalze bzw. U'^ - s , nämlich (A W), (B F, (C M), 

(E S), (G Z), (H O), (J U), (N Q), (R T) . Die Methode verlangt also keine 
langen wahrscheinlichen Wörter. 
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Abb. 100. Isomorphie-Methode mit Streifen (methode des bätons) 






288 14 Polyalphabetischer Fall: Wahrscheinliche Wörter 


Aus einem vorgefertigten Katalog mit 2 x 26 2 =1 352 Einträgen aller ^ 
bzw. 2 x 26 3 =35152 Einträgen aller - 3 kann dann die Lage und Stel¬ 
lung der beiden für Rm und Rl dienenden Rotoren II und m bestimmt 
werden. Mit der so gewonnenen Anfangsstellung ist die Entzifferung auf einer 
ENIGMA oder einem ENIGMA-Nachbau durchführbar. Man geht also von 
zwei Seiten her vor ( L meet in the middlF). Die Schweiz benützte, wie auch 
andere kleine Nationen, während (und teilweise auch nach) dem 2. Weltkrieg 
ENIGMAs ohne Steckerbrett (mit abgeänderten Rotoren), U.S. Deckname 
INDIGO. Die Deutschen lasen regelmäßig mit Hilfe von Katalogen gut mit. 

14.5.3 Die vorstehenden Überlegungen standen unter der Annahme, daß der 
„mittlere“ Rotor Rm , entsprechend der Kürze des wahrscheinlichen Worts, 
während der Chiffrierung sich nicht bewegt. Geschieht dies jedoch, so ändert 
sich an einer Bruchstelle des Textes die Pseudo-Umkehrwalze, die Untersu¬ 
chung zerfällt in zwei Teiluntersuchungen, ohne dadurch wesentlich schwie¬ 
riger zu werden. Es besteht sogar der Vorteil, daß bei der Wehrmachts- 
ENIGMA die Lage der Nut und damit die Ringstellung aufgedeckt wird (bei 
der kommerziellen ENIGMA war die Nut fest mit dem Rotor verbunden, für 
jeden Rotor war die Lage der Bruchstelle bekannt). Hat man vor und nach 
der Bruchstelle je zwei isomorphe Texte (c',p') und (c",p"), so kennt man 
einige Zweierzyklen der Pseudo-Umkehrwalze U^\ die vor der Bruchstelle 
gilt und U^ 2 \ die nach der Bruchstelle gilt. Daraus kann man Lage und Stel¬ 
lung des mittleren Rotors Rm gewinnen. Für eine ENIGMA D verringert sich 
dadurch der Umfang des weiterhin erforderlichen Katalogs auf 2 x 26 2 =1352 
Einträge. 

Ein Beispiel ( Deavours ) mag dies illustrieren: Es sei folgende Kompromittie- 
rung zu untersuchen 

general f el dmarschal 1 kessel ri ng 
L S H X B T F WU I OVBCARXS NCVZYXNJ BF WB 

Es sei angenommen, daß die Untersuchung des Teilworts general bei 
den Stellungen i — 17 bis z = 23 einen Treffer ergeben hat und zwei isomorphe 
Texte. Fortführung bis zu z = 26 bestätigt das und liefert 

exovl yl xru 
MRHF DTDRXG 

also die Zweierzyklen (E M), (R X), (H 0), (F V), (D L), (T Y), (G U) 
als Bestandteile von U ^ . Der restliche Text muß sich mit i = 1 bis i = 10 
anschließen, er liefert tatsächlich zwei isomorphe Texte 

bdaqrwrl j bspf qchmooz 
NRWXDADJ LNMYHXI FS EET 

und die Zweierzyklen (B N), (D R), (A W), (P X), (J L), (S M), (P Y), 
(F H), (Q X), (C I), (E O), (T Z) als Bestandteile von U^ . Beiden 
Mengen gemeinsam sind die elf Zeichen D, E, F, H, L, M, O, R, T, X, Y . 
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Für den als mittlerer Rotor in Frage kommenden Rotor lautet die Tafel der 
rotierten P- Alphabete: 

i abcdefghijklmnopqrstuvwxyz 
0 LWFTBAXJDSCKPRZQYOEHUGMIVN 

1 OMXGUCBYKETDLQSARZPFIVHNJW 

2 XPNYHVDCZLFUEMRTBSAQGJWIOK 

3 L YQOZ IWEDAMG V FN S UCTBRHKX J P 


Für die gemeinsamen elf Zeichen D, E, F, H, L, M, O, R, T, X, Y hat man 
nun folgende Tafel der U^- und U^- Bilder: 



a b c d e f g 

h i ; 

j k 1 m n 

o p 

q r s 

t u 

v w x y z 

i 

1 m v 

0 

d e 

h 

X 

y 

r t 

0 

K PG 

Z 

T B 

J 

I 

V 

0 H 

1 

D L V 

s 
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Y 

N 

j 

Z F 

2 

U E J 

R 

Y H 

C 
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0 

S Q 

3 

G VH 

N 

0 Z 

E 

X 

J 

C B 


U^: a b 

c d e f g 

; h i j k 

1 m n 

o p q 

r s 

t u 

v w x y z 

i 
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j s 

e 

d 

z 

q p 
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0 Z J 

A 

S E 

B 

T 

N 

YQ 
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Z S Y 

C 

E P 

U 

G 

W 

RA 

2 

S RC 

V 

L A 

H 

Y 

K 

B T 

3 

C NE 

I 

A T 

Z 

0 

P 

U S 

Betrachtet 

man jetzt 

i = 0 von 

U^ und z = l 

von 

t/( 2 ) 

, so findet man den 

Buchstaben Z in der Zeile i = 

= 0 unter h, in 

der 

Zeile 

2 = 1 unter d: 

a b c 

d e f g 

h i j k 1 

m n o 

P q r 

s t 

u V 

w x y z 


0 KPGZ TB J IV OH 

1 ZSYC EP U GW RA 


In dem entsprechenden Ausschnitt aus der Tafel der rotierten P -Alphabete 

i abcdefghijklmnopqrstuvwxyz 
0 LWFTBAXJDSCKPRZQYOEHUGMIVN 
1 OMXGUCBYKETD L QSARZPF I VHN JW 

findet sich jedoch keine entsprechende Übereinstimmung. Diese Rotorstel¬ 
lung „kreischt“ also. 

Betrachtet man dagegen i — 1 von U^ und i = 2 von C/(2) 

, so findet man 

den Buchstaben L in der Zeile i = 1 unter e , in der Zeile i — 2 unter 1 , 

den Buchstaben V in der Zeile i = 1 unter f , in der Zeile i = 2 unter h , 

den Buchstaben S in der Zeile i = 1 unter h , in der Zeile i = 2 unter d , 

den Buchstaben Y in der Zeile i = 1 unter o , in der Zeile i = 2 unter r : 
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abcde fghijklmnopqrstuvwxyz 

1 DLVS GUY NJ ZF 

2 SRC V LAH YK BT 

In dem entsprechenden Ausschnitt aus der Tafel der rotierten P- Alphabete 

abcde fghijk 1 mnopqrstuvwxy z 

1 OMXGUCBYKETDLQSARZPFIVHNJW 

2 XPNYHVDCZLFU E MRTBSAQG JW I OK 

herrscht in allen Fällen entsprechende Übereinstimmung (mit Y für S, U 
für L, C für V, S für Y). Man hat einen Treffer, die richtige Stellung des 
mittleren Rotors ist somit gefunden. 

Auch diese Bestimmung der Rotorstellung läßt sich durch Streifen mit den 
einzelnen Spalten der rotierten Alphabete praktisch durchführen. 

14 . 5.4 Eine Variante der Methode dient zur Bestimmung der Zweierzyk¬ 
len der Umkehrwalze U . Dies war in Bletchley Park notwendig, seit die 
Deutschen ab 1944 in der Wehrmachts-ENIGMA gelegentlich eine Umkehr¬ 
walze mit schaltbarer Verdrahtung einsetzten (7.3.3). Nunmehr muß für alle 
26 3 =17576 Anfangsstellungen die Isomorphieuntersuchung mit einem geeig¬ 
neten wahrscheinlichen Spruchanfang durchgeführt werden. Dies erfordert 
spezielle Maschinen, etwa die in den U.S.A. von der F Brauch der Army 
Signal Security Agency unter dem Kommando von Colonel Leo Rosen ge¬ 
bauten AUTOSCRITCHER (Relaismaschine, ab 1944) und SUPERSCRIT- 
CHER (elektronisch, ab 1946). 12 

14 . 5.5 Das Steckerbrett läßt die geschilderte Isomorphie-Methode zusam¬ 
menbrechen, weil die unbekannte Steckerverbindung das wahrscheinliche 
Klartext wort verschleiert. Nunmehr ist man darauf angewiesen — dies erfor¬ 
dert allerdings längere Texte — wiederholt auftretende Paare von Klartext- 
und korrespondierendem Geheimtextzeichen zu suchen. Jede Gruppe sol¬ 
cher Paare geht unter der Steckerverbindung wieder in eine Gruppe gleicher 
Paare über. Die Isomorphie verlangt, daß die Gruppen beim Durchspielen 
aller Rotorstellungen nicht auseinanderfallen. 

Die Maschinen AUTOSCRITCHER und SUPERSCRITCHER waren auf 
diese Aufgabe hin ausgelegt. Verwandt waren die britische Maschine GIANT 
und die Maschine DUENNA der U.S. Navy. Ein ersatzweise manuell durchzu¬ 
führendes Verfahren (‘Hand-Duenna’) wurde von C. H. O’D. Alexander 1944 
in einem internen Vermerk für Bletchley Park ( Fried Reports ) festgehalten. 


1 Scritch ist eine Dialektvariante von screech , kreischen. 

2 In der offenen Literatur wird scritch, scritchmus ohne nähere Erklärung verwendet, so 
von Derek Taunt (1993) bei einer Schilderung der Arbeiten in Bletchley Park unter Be¬ 
zug auf Aufgaben, die Dennis Babbage hatte, wobei auch die schaltbare Umkehrwalze 
erwähnt wird. Bei den Briten wird man also den Ursprung des Terminus zu suchen 
haben. David Crawford und Philip Fox (1992) berichten, daß sie über den kryptologi¬ 
schen Hintergrund von AUTOSCRITCHER und SUPERSCRITCHER nicht eingeweiht 
waren. Aus einer Arbeit von Cipher Deavours (1995) ergibt sich der Zusammenhang 
mit der Isomorphiemethode. 
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14.6 Verdeckte Klartext-Geheimtext-Kompromittierung 

Die Methoden des wahrscheinlichen Wortes sollen den vollen Klartext her- 
stellen helfen. Im Falle einer Klartext-Geheimtext-Kompromittierung ist das 
gar nicht mehr nötig. In glücklich gelagerten Fällen kann jedoch der Schlüssel 
gefunden und damit ein tiefer Einbruch in das System erzielt werden. Dazu 
sind technisch alle bisher besprochenen Mittel des Angriffs mit wahrscheinli¬ 
chen Wörtern verfügbar; diese können nun überdies komfortabel lang gewählt 
werden. 

Man kann vermuten oder hoffen — je nachdem auf welcher Seite man steht 
daß direkte Klartext-Geheimtext-Kompromittierung selten vorkommt. Eine 
verdeckte Klartext-Geheimtext-Kompromittierung entsteht jedoch, wenn der 
selbe Klartext zwei verschiedenen Chiffriersystemen unterworfen wurde 
eigentlich eine harmlose Geheimtext-Geheimtext-Kompromittierung und 
eines der beiden, in der Regel das kryptologisch einfachere, gebrochen wurde. 
Dann ergibt sich für das schwierige zu brechende System eine Klartext- 
Geheimtext-Kompromittierung mit allen Konsequenzen. 

Es gibt kaum überschaubar viele Arten von Nachlässigkeit und Einfältigkeit, 
die zu einer solchen Situation führen können. Ein Grund kann darin lie¬ 
gen, daß beim Schlüsselnachschub Probleme auftreten und eine Nachricht, 
die noch im alten Schlüssel übermittelt wurde, im neuen Schlüssel nochmals 
gesendet wird. Daß nämlich der alte Schlüssel gebrochen wurde, muß man 
gegen Ende seiner Laufzeit ohnehin eher erwarten: “ The risk , that a crypto- 
system is broken is never greater than at the end of its lifetime ” sagt eine 
kryptologische Wetterregel. Auf diese Weise wurde nach Hüttenhain zwischen 
1942 und September 1944 eine Reihe von sogenannten CQ-Funksprüchen 
(‘call to quarters ’) des State Departments in Washington an seine diplomati¬ 
schen Vertretungen von den Deutschen mitgelesen. Die für CQ-Funksprüche 
reservierten Lineale der M-138 waren für alle Botschaften identisch. Beim 
Wechsel der Lineale mußten solche Pannen Vorkommen. 

Wegen der besonderen Gefahr einer Preisgabe des ganzen Chiffriersystems 
durch eine Klartext-Geheimtext-Kompromittierung kam Hüttenhain retro¬ 
spektiv zu dem Schluß „Es dürfen also keine Chiffrierverfahren verwendet 
werden, die gegen Klar-Geheim-Kompromisse anfällig sind“. In Verbindung 
mit Kerckhoffs ’ Maxime bedeutet die Hüttenhainsche Maxime, daß viele klas¬ 
sische und etliche moderne Systeme, Vorschriften und Gewohnheiten über 
Bord geworfen werden müssen. Insbesondere darf kein solches System die 
Shannon-Eigenschaft (2.6.4) haben. 

Fehler wurden überall gemacht. Kahn bemerkte dazu u the Germans had no 
monopoly on cryptographic failure. In this respect the British were just as 
illogical as the Germans ”. 
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“We can only say that the decryptment of any cipher even the simplest 

will at times include a number of wonderings.” 

Helen Fouche Gaines 1939 

Die im 13. Kapitel besprochene Entzifferung mit Hilfe der Mustererkennung 
benutzt von der Anatomie der Sprache das Skelett. Die nunmehr zu be¬ 
sprechenden Methoden zielen auf die Weichteile: Sie gehen auf statistische 
Gesetzmäßigkeiten der Sprache, insbesondere auf Häufigkeiten, aus. Erste 
Ansätze findet man bei dem ostarabischen Philosphen al-Kindl (um 800- 
870), und schon 1466 wußte der italienische ‘ uomo universale’ Leone Battista 
Alberti (1404-1472) darüber zu berichten ( Trattati in cifra , 1470). Eine 
theoretische Erklärung der Stabilität der Zeichenhäufigkeiten in natürlichen 
Sprachen geht auf Ferdinand de Saussure (publ. 1916) zurück. 

Zunächst haben wir den offensichtlichen 

Invarianzsatz 2: Für alle Transpositionen gilt: 

Häufigkeiten der Einzelzeichen innerhalb des Textes bleiben erhalten. 

15.1 Ausschließung von Chiffrierverfahren 

Satz 2 kann negativ zur Ausschließung von Transpositionen gebraucht wer¬ 
den — wenn nämlich die Häufigkeit der Einzelzeichen des Chiffrats der ver¬ 
muteten Sprache ganz und gar nicht entspricht. 

15.1.1 Die Geheimnachricht 

FDRJN UHVXX URDMD SKVSO PJRKZ DYFZJ 

XGSRR VTQYR WD ARW DFVRK VDRKV TDFSZ 

ZDYFR DNNVO VTSXS A WV Z R 

hat als häufigste Zeichen R, D, V, S ; überaus selten, nämlich gar nicht vorhan¬ 
den sind B, C, I, E . Sie kann kaum aus einem deutschen, englischen, französi¬ 
schen oder italienischen Klartext durch Transposition entstanden sein. (Tat¬ 
sächlich liegt, vgl. 13.3.1, eine einfache Substitution vor). 

15.1.2 Dagegen ist nicht auszuschließen, daß die Geheimnachricht 

SAEWS HRCNU ODKLN ELIAS HNCIO NBNNA 

AKIHM CWNZA MC GI M IHEEN NAUFK NNCTI 

TI HMD RTEWO ATAIM TALKB UEAFZ LNUSE 

A S D E N 
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(mit E und T unter den häufigsten Einzelzeichen und fehlenden V, P, J, Q, X 
und Y) durch Transposition eines deutschen Textes entstanden ist (vgl. 12.5, 
Tabelle 6). 

15.1.3 Satz 2 wird auch (logisch unzulässig) verwendet im Sinne des plau¬ 
siblen Schließens: Ist die Häufigkeitsverteilung der Einzelzeichen die einer 
in Betracht kommenden natürlichen Sprache, so hegt vermutlich Transpo¬ 
sition vor. Die naive Argumentation lautet: Was sonst — welches andere 
Verfahren würde die Häufigkeitsverteilung der Einzelzeichen invariant las¬ 
sen? Sie ist natürlich falsch: Es kann zwar keine nichttriviale einfache 
monoalphabetische Substitution vorliegen, aber man kann unschwer eine 
Polygramm-Substitution, etwa einen Code, konstruieren, derart daß die 
Einzelzeichenhäufigkeitsverteilung der Geheimnachrichten hinreichend genau 
mit einer vorgegebenen Einzelzeichenhäufigkeit übereinstimmt (vgl. 4.1.2). 
W. B. Homan hat 1948 ein solches Verfahren angegeben, bei dem alle Geheim¬ 
textzeichen gleich häufig auftreten (‘ equifrequency cipher 7 ). Das gleiche wird 
erreicht durch eine redundanzvermindernde Shannon-Huffman-Codierung. 

Mit derartigen Tricks kann man den unbefugten Entzifferer aber nicht allzu 
lange hinhalten. Immerhin wurde Bazeries , als er 1892 eine Nachricht brechen 
sollte, die einer französischen Anarchistengruppe abgenommen worden war, 
für 14 Tage aufgehalten, weil er in die falsche Richtung geführt wurde durch je 
sechs am Anfang und am Ende angefügte und mehrere in den Text als Blender 
eingestreute seltene Buchstaben. Tatsächlich war die Nachricht lediglich li¬ 
near polyalphabetisch mit einer Periodenlänge 6 chiffriert. Am Anfang und 
Ende gerade soviel Zeichen anzufügen, wie die Periodenlänge beträgt, mag 
ein Fehler gewesen sein, trotzdem war die Irreführung nach Bazeries eigenem 
Bekunden vorzüglich gelungen. Ein Teil der entzifferten tödlichen Nachricht 
lautete übrigens: ^Lafemme et lui sont des mouchards, s 7 il m’arrive quelque 
chose, songe ä les supprimer.^> 

15.2 Invarianz der Partitionen 

Eine Partition ist eine Zerlegung einer natürlichen Zahl M in eine Summe 
von natürlichen Zahlen ra*. Zu jedem (Klar-)Text der Länge M gehört eine 
Partition von M, nämlich in die Anzahlen, mit denen die einzelnen Zeichen 
Vorkommen. Zum Text Wintersemester gehört die Partition 
14 = 4+2+2-f 2-fT-fT-fT-fl . Wir sprechen von einer Einzelzeichen-Partition. 

Es gilt der fundamentale, zu 13.1, Satz 1 parallele 

Invarianzsatz 3: Für alle monoalphabetischen, funktionalen einfachen 
Substitutionen, insbesondere auch für alle linearen monoalphabetischen 
einfachen Substitutionen gilt: 

Einzelzeichen-Partitionen innerhalb des Textes bleiben erhalten. 

Ein entsprechendes Chiffrat von Wintersemester besteht also aus vier 
Exemplaren eines gewissen Zeichens, zwei Exemplaren eines gewissen anderen 
Zeichens, zwei Exemplaren eines gewissen dritten Zeichens, und so weiter. 
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Die Partition 14 = 4+2+2+2+1+1+1+1 ist invariant. Würde der unbefugte 
Entzifferer die zum Chiffrat 


ZLQWHUVHPHVWHU 

gehörige Häufigkeit des Vorkommens der Zeichen im Klartext kennen, also 
wissen, daß /e/ viermal, /t/ zweimal, /r/ zweimal, /s/ zweimal, /n/ ein¬ 
mal, /i/ einmal, /w/ einmal, /m/ einmal vorkommt, so wüßte er, daß H=e, 
{uvw}={r s t}, {LPQZ}={i m n w} und hat die polyphone Dechiffrierung 


1 1 1 y. 

m m m * 
n n n J 

WWW 1 


r r 
e s s 


t t 


i 

m 

n 

w 


r r 
e s s 
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Nun folgt aber die Häufigkeit der Einzelzeichen inneren Gesetzen der Sprache. 
In einfachster Näherung kommt jedem Einzelzeichen Xi eine Wahrscheinlich¬ 
keit pi des Auftretens (,stochastische Quelle* Q) zu, derart, daß die Häufigkeit 
m i — Q[Xi\ seines Vorkommens in einem Text der Länge M nahe bei M • pi 
liegt. 



Abb. 101. Häufigkeitsgebirge im Deutschen 



Abb. 102. Häufigkeitsgebirge im Englischen 

15.3 Intuitive Häufigkeitserkennung: Häufigkeitsgebirge 

Zur intuitiven Häufigkeitserkennung ist es zweckmäßig, sich das ,Häufigkeits¬ 
gebirge* einer Sprache optisch einzuprägen. 

Im Deutschen (Abb. 101) sind besonders auffällig die e-Spitze und der 
n-Gipfel, die f-g-h-i-Flanke mit anschließender j-k-Senke, die o-p-q-Senke 
mit anschließendem r-s-t-u-Kamm. 
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Demgegenüber bestehen im Englischen (Abb. 102) signifikante Unterschiede: 
Es ist ein a-Gipfel ausgeprägter, es besteht ein h-i-Kamm und ein 1-m-n-o- 
Kamm, der r-s-t-u-Kamm hat einen t-Gipfel; jedoch finden sich b-c-d-Flanke, 
j-k-Senke und v-w-x-y-z-Niederung wieder. 

Andere europäische Sprachen zeigen keine Unterschiede, die größer sind als 
die zwischen Deutsch und Englisch. Romanische Sprachen haben ebenfalls 
einen ausgeprägteren a-Gipfel, im großen und ganzen sind die Profile ähnlich. 

15 . 3.1 Liegt eine Transposition vor, so ergibt eine Häufigkeitszählung direkt 
das Häufigkeitsgebirge. Aber auch eine lineare monoalphabetische einfache 
Substitution mit q = 1, eine CAESAR-Addition, springt sofort ins Auge: 

Invarianzsatz 4: Für alle CAESAR-Additionen gilt: 

Das Häufigkeitsgebirge des Textes ist lediglich verschoben, und zwar 
mit zyklischer Schließung. 

Die Geheimnachricht von 349 Zeichen 
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hat das in Abb. 103 aufgeführte Häufigkeitsgebirge. Man erkennt mit einem 
Blick, daß es sich um einen CAESAR mit einer Verschiebung um 3 Zeichen 
handelt. (Der entzifferte Text, vgl. auch 12.5, Tabelle 5, ist der Anfang eines 
1963 erschienenen Romans.) 



1 0 5 36 9 10 9 54 9 10 21 23 1 8 8 10 41 3 4 0 19 22 24 18 0 4 
ABCDEFGHI J KLMNOPQRS TUVWX Y Z 


Abb. 103. Häufigkeitsgebirge für den Geheimtext ,Böll‘ 


15 . 3.2 Aus dem Auftreten eines verschobenen Häufigkeitsgebirges kann man 
umgekehrt nicht auf einen CAESAR schließen: Es könnte sich auch um eine 
Kombination von Transposition und CAESAR-Addition handeln. 
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15 . 3.3 Natürlich kann diese Methode auch sonst irreführen, etwa bei folgen¬ 
dem Geheimtext von 175 Zeichen 
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Das Häußgkeitsgebirge (Abb. 104) zeigt eine große Abweichung von dem der 
Abb. 101 oder Abb. 102. Es kommt jedoch leicht der Verdacht auf, daß eben¬ 
falls ein CAESAR (über Z 25 ) mit einer Verschiebung um 1 Zeichen vorliegt: 

c upon this basis i am going to show .’ — die Streifenmethode von 12.7 

liefert schon für die ersten vier Zeichen so gut wie eindeutig ‘upon ’. Daß die 
Häußgkeitserkennung versagt, hegt daran, daß der Text ein aus “Gadsby” 
(vgl. 13.3.2, Abb. 88) entnommenes Lipogramm ist. 



ABCDEFGHI KL MNOPQRS TUV WX Y Z 
Abb. 104. Häufigkeitsgebirge für den Geheimtext ,Gadsby‘ (13.3.2) 

15.4 Häufigkeitsreihenfolge 

Für eine einfache monoalphabetische Substitution, die nicht linear mit q = 1 
oder q — — 1 ist, besagt das Häufigkeitsgebirge nichts mehr — die einzelnen 
Buchstabennachbarschaften sind zerrissen. Die naive Intuition setzt in die¬ 
sem Fall an der Häufigkeitsreihenfolge an: Das häufigste Zeichen im Geheim¬ 
text sollte dem häufigsten Buchstaben der betreffenden Sprache entsprechen; 
nach Entfernen des so bestimmten Paares wiederholt sich das Verfahren für 
den Rest, bis alle Zeichen erschöpft sind. 

15 . 4.1 Theoretisch sollte das Verfahren zumindest für genügend lange Texte 
zum Ziel führen — genügend lang würde u.a. heißen, daß die wenigen Lipo- 
gramme, die es in der Literatur gibt, untergehen gegenüber der Masse der 
„normalen“ Texte. Aber das Beispiel von 15.2, das zu einer polyphonen 
Situation sogar dann führt, wenn die wahren Häufigkeiten der Klartextzei- 
chen bekannt sind, zeigt die fundamentale Grenze dieses Vorgehens: Wenn 
Geheimtextzeichen gleicher Häufigkeit vorhegen, ist die Dechiffrierung nicht¬ 
deterministisch. 
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Überdies zeigen sogar lange Texte beträchtliche Fluktuationen der Zeichen¬ 
häufigkeiten. Von der Häufigkeitsverteilung der englischen Sprache zu spre¬ 
chen, ist eine Fiktion. Bestenfalls zeigen die Fachsprachen des Militärs, der 
Diplomatie, des Handels oder der Literatur eine gewisse Homogenität, wo¬ 
bei ein und die selbe Person nach den Umständen eine verschiedene Spra¬ 
che spricht. Praktisch schwanken dementsprechend die Angaben über die 
Häufigkeiten der einzelnen Buchstaben in verschiedenen Sprachen sehr. Über¬ 
wiegend liegen diesen Werten Auszählungen von Texten mit nur 10000 oder 
weniger Buchstaben zugrunde. Darauf werden wir in 15.5 zurückkommen. 

Schon für die Häufigkeitsreihenfolge findet man verschiedene Angaben, und 
zwar in jedem Werk andere, die nur in groben Zügen übereinstimmen: 1 


Für die deutsche Sprache: 
enrisdutaghlobmfzkcwvjpqxy 
enirsahtudlcgmwfbozkpjvqxy 
enirstudahgolbmfzcwkvpjqxy 
enritsduahlcgozmbwfkvp j qxy 
enrisatdhulcgmobzwfkvpjyqx 
enritsduahlcgozmbwfkvpjyqx 
enirst udahgolbmfcz wkvp j qxy 
enirsadtugholbmcfwzkvpjyqx 
enristudahglocmbzfwkvpjqxy 
enr it sudahlcgozmbwfkvp j qxy 
enisrtahduglcofmbwkzvpjyqx 
enristdhaulcgmobzwfkvüpäöjyqx 
enisr at duhglcmwobfzkvp j qxy 
enirsatdhulgocmbfwkzpvjyxq 

Für die englische Sprache: 
etaoinshrdlucmfwypvbgkqjxz 
et oanirshdlcfumpy wgbvkxj qz 
et aoinsrhlducfmwygpbvkxj qz 
et aonisr hldcupfmwy bg vkqxj z 
etoanirshdlcwumfygpbvkxqj z 
et oanirshdlufcmpy wgbvkxzj q 
etaonirshdlucmpfywgbvjkqxz 
etaonrishdlfcmugpywbvkxjqz 

Für die französische Sprache: 
eusranilotdpmcbvghxqfjyzkw 
ensautorilcdvpmqfgbhxyj zkx 


( Ch. Vesin de Romanini 1840) 

(F.W. Kasiski 1863) 

(E.B. Fleissner von Wostrowitz 1881) 
(P. Valerio 1893) 

(F. W. Kaeding 1898) 

(M. Givierge 1925) 

(A. Figl 1926) 

(. H.F . Gaines, J. Arthold 1939) 

(L. D. Smith 1943) 

(L. Sacco 1951) 

(Ch. Eyraud 1953) 

(K. Küpfmüller, H. Zemanek 1954) 
(W. Jensen 1955) 

(F. L. Bauer 1993) 

(O. Mergenthaler 1884) 

(P. Valerio 1893) 

(G. Dewey 1923) 

(H.F. Gaines, O.P. Meaker 1939) 

(L. D. Smith 1943) 

(L. Sacco 1951) 

(D. Kahn 1967) 

(A.G. Konheim 1981) 

(Ch. Vesin de Romanini 1840) 

(F.W. Kasiski 1863) 


1 Die Auszählung von K. Küpfmüller und H. Zemanek , die die deutschen Umlaute berück¬ 
sichtigt, ist natürlich kryptologisch uninteressant; sie ist lediglich zu Vergleichszwecken 
aufgeführt. 
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esriantouldmcpvfqgxjbhzykw 
easintrulodcpmvqfgbhjxyzkw 
enairstuoldcmpvfbgqhxjyzkw 
eaistnrulodmpcvqgbfj hzxykw 
etainroshdlcfumgpwbyvkqxjz 


(A. Kerckhoffs 1883) 

(G. de Viaris 1893) 

(P. Valeno 1893, M. Givierge 1925) 
(HF. Gaines 1939) 

( Ch. Eyraud 1953) 


Angaben für italienisch, spanisch, holländisch, lateinisch ßnden sich bei 
Lange-Soudart 1935. 


Für die ersten rund ein Dutzend Buchstaben gibt es hübsche Merksprüche, 
etwa 


deutsch: 

englisch: 

französisch: 

italienisch: 


enirstaduhl 

etaoinshrdlu 

esarintulo 

eiaorlnts 


( Hüttenhain ) 
(LINOTYPE) 

( Bazeries , Givierge ) 
(Sacco) . 


Die Häuhgkeitsverteilung im Englischen spiegelt sich bereits in der Länge der 
Morsezeichen wieder — Morse hatte den Setzkasten einer Druckerei in Phil¬ 
adelphia ausgezählt und gefunden: 12000 /e/, 9000 /t/, je 8000 /a/, /i/, 
/n/,/o/,/s/, 6400 /h/. Die Häufigkeitsverteilung bestimmte aus technischen 
Gründen auch die Anordnung (etaoin- shrdlu- cmfwyp- ...) auf der Tasta¬ 
tur (Abb. 105) der Zeilensetzmaschine LINOTYPE , die 1884 von Ottmar 
Mergenthaler (1854-1899) erfunden wurde. 
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Abb. 105. Originaltastatur von Ottmar Mergenthaler 


15.4.2 Für die deutsche Sprache hat F. W. Kaeding 1898 eine sehr um¬ 
fangreiche Häufigkeitszählung vorgenommen; er untersuchte für Zwecke der 
Stenographie Texte, die zusammen 20 Millionen Silben umfaßten und kam 
damit (Umlaute ä, ö, ü durch ae, oe, ue ersetzt) auf 62 069 452 Buchstaben. 
Man kann annehmen, daß diese Auszählung ziemlich zuverlässig ist. 

Nimmt man die darauf basierende Reihenfolge, wie sie oben angegeben ist, 
und stellt sie der Reihenfolge der Häufigkeiten im Text ,Bölk (Abb. 103) ge¬ 
genüber, so ergäbe sich (bei alphabetischer Reihenfolge der gleichhäufigen 
Chiffren) die Dechiffriertabelle 
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54 41 36 24 23 22 21 19 18 10 10 10 9 9 9 8 8 5 4 4 3 1 1 0 0 0 

HQDWLVKUXFJ PEGI NOCS ZRAMBTY 
enri satdhul cgmobzwfkvpj yqx. 

Beginnt man damit den Anfang des Geheimtexts von 15.3.1 
HVZDU VFKRQ GXQNH ODOVL FKLQE RQQDQ 

zu dechiffrieren, so erhält man 

eakrd autvn mh nbe zrzai uting vnnrn, 

einen völlig inakzeptablen Klartext. Nimmt man die gleichhäufigen Chif¬ 
fren in anderer Reihenfolge, wird es nicht besser. Aber auch die anderen 
Häufigkeitsreihenfolgen bringen nichts. Tatsächlich lautet die Dechiffrier¬ 
tabelle, die (vgl. 15.3.1) auf Rückwärtszählen um drei Buchstaben hinausläuft 

HQDWLVKUXFJ PGEI ONCZ S RAMYBT 
enati shrucgmdbfl kzwpoxj vyq. 

und gibt folgende Entzifferung 

eswar schon dünke lalsi chinb onnan 

15.5 Cliquen und Partitionsanpassung 

Abb. 106 zeigt, daß sich die wirklich auftretende Häufigkeitsreihenfolge von 
der theoretisch zu erwartenden ganz beträchtlich unterscheidet. Es ergeben 
sich lokale Permutationen, wobei /r/ und /v/ um fünf Plätze springen, /d/, 
j\j und /o/ sogar um sechs. Andere Buchstaben springen nur um ein oder 
zwei Plätze, aber nur wenige darunter /e/, /n/ — stehen sich gegenüber. 
Sicher beruhen diese Schwankungen auf der kurzen Länge von 239 Zeichen des 
Textes, wodurch die wirklich auftretenden Häufigkeiten innerhalb von Berei¬ 
chen schwanken, die sich sogar überlappen und dadurch zu Überkreuzungen 
führen; aber, wie sich zeigen wird, verschwinden die Schwankungen auch bei 
langen Texten nicht völlig. Die bloße Häufigkeitsreihenfolge bringt im allge¬ 
meinen keine automatische Entzifferung. 

enri satdhul cgmobzwfkvpj yqx 

Abb. 106. Gegenüberstellung beobachteter und auf der Wahrscheinlichkeit beruhender 
Häufigkeitsreihenfolge für den Geheimtext ,BölT von 15.3.1 

In der Tat schwanken in der Literatur nicht nur die Angaben über die Häufig¬ 
keitsreihenfolge, sondern auch über die Häufigkeiten selbst, hervorgerufen 
auch durch das Genre der Texte, über die sich die Auszählung erstreckt. Statt 
die einzelnen ad hoc Auszählungen wiederzugeben, die sich in der Literatur 
finden, wird es also besser sein, die Bereiche anzugeben, in denen die empiri¬ 
schen Häufigkeiten bei Texten von 1000 Zeichen, von 10 000 Zeichen oder 
von 100 000 Zeichen schwanken. Dies wird dazu führen, Teilmengen von 
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eni rsatdhul gocmbf wkzpvj yxq 


i! • 

. 11 ; i!!. i. 

___ ? ' 11111 ..... 

eni rsatdhul gocmbf wkzpvj yxq 


: i i 


j".., ... 

1 1 • 1 I I I 


eni rsatdhul gocmbf wkzpvj yxq 


10 000 


eni r s at dhul gocmbf wkzpvj yxq 


100 000 


Abb. 107. Schwankungen der Häufigkeiten der Einzelzeichen im Deutschen 
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100 1000 10000 100000 681972 

Abb. 108. Schwankungen der Häufigkeiten des /e/ im Deutschen 
abhängig von der Länge des Textes 


Zeichen (,Cliquen 6 ) einzuführen, die sich bei gegebenem Umfang des Textes 
häufigkeitsmäßig nicht unterscheiden lassen. 

15 . 5.1 Das Ergebnis einer umfangreichen Untersuchung, bei der jeweils 10 
Fälle von Texten mit M = 100 Zeichen, M — 1 000 Zeichen, M = 10 000 Zei¬ 
chen oder M — 100 000 Zeichen analysiert wurden, findet sich für die deutsche 
Sprache in Abb. 107 (gestrichelt: durchschnittliche Häufigkeit). Als Textba¬ 
sis dienten politische Kommentare, nämlich die gesammelte ‘Seite Drei’ der 
Süddeutschen Zeitung vom März 1992 (hinfort Textbasis SZ3-92 genannt). 
Es zeigt sich, daß die Überlappung der Schwankungsbereiche geringer wird, 
je länger der Text ist, und die Schwankung selbst, grob gesagt, mit der Qua¬ 
dratwurzel aus der Textlänge zurückgeht, wie Abb. 108 für das /e/ zeigt. 

Um die Situation bei längeren Texten zu studieren, vergleichen wir die auf 
einer Auszählung von 4 000 000 Zeichen beruhende Häufigkeitsreihenfolge von 
Meyer-Matyas mit einem ziemlich langen englischen Text 2 von 29 272 Zei¬ 
chen, dessen Auszählung die in Abb. 109 wiedergegebene Häufigkeitsvertei¬ 
lung hat. Abb. 110 zeigt die sich ergebende Gegenüberstellung. Es gibt weit 
weniger Überkreuzungen, aber es kommen immer noch solche vor. 

3879 2697 2240 2151 2133 2082 1910 1907 1415 1095 1035 995 780 

etanoi rshdl cm 

765 719 687 620 551 469 404 277 230 101 55 45 30 

uf pygwbvkxzqj 

Abb. 109. Häufigkeitsverteilung in einem langen englischen Text von 29 272 Zeichen 


etanoi rshdl cmuf pygwbvkxzqj 



et aoi nsrhl dcumf pgwybvkxj qz 

Abb. 110. Gegenüberstellung der Häufigkeitsreihenfolgen für einen langen englischen Text 
von 29 272 Zeichen (oben) und für die Auszählung von Meyer-Matyas (unten) 


2 


Abschnitt 11.2 der englischen Version dieses Buches. 
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Wenn der lange englische Klartext einer einfachen Substitution unterworfen 
wird, der Geheimtext dann ausgezählt wird und nach der Häufigkeitsreihen¬ 
folge die Dechiffrierung erfolgt, so ergibt sich ein verstümmelter Klartext, der 
wie folgt beginnt: 

ivestheceotmsnercsgptidiwghar c iddect 
elatsearmsgi fexpesneocereveot heipeod 
ntesatmserhiyrthnrthereexpesn e oceroi 
suaddgrcatteselcaobecioceotsa t elnot i 
afeyuaxnur f i scsgpt iwsaphncyi s knopast 

Er kann nicht fließend gelesen werden: Wie zu erwarten, muß i durch /o/, s 
durch /r/, o durch /n/, m durch /u/, n durch /i/, r durch /s/, usw. ersetzt 
werden — was nicht auf den ersten Blick gelingt. Der wahre Text lautet: 

overthecentur iescryptologyhas c ol lect 
edat reasuryofexper i encesevent h eopenl 
i teratureshowsthi stheseexper i e ncesno 
rmallyscatteredcanbeconcentrat edinto 
afewmaximsforcryptographicwor k inpart 

15 . 5.2 Es ist also zweckmäßig, statt mit der Häufigkeitsreihenfolge der Zei¬ 
chen mit einer Reihenfolge von Cliquen ,gleichhäufiger ‘ Zeichen zu arbeiten, 
die auf grund der Beobachtung ihrer Häufigkeit nur schwer trennbar sind. 

Für die deutsche Sprache gibt es eine Zerlegung des Buchstabenvorrats in 
Cliquen, die im wesentlichen schon von Andre Lange and E.-A. Soudart 1935 
angegeben wurde: 

{e} {nirsatdhu} {lgocmbfwkz} {pvjyxq} , 

oder etwas feiner zerlegt, 

{e} {n} {irsat} {dhu} {lgocm} {bfwkz} {pv} {jyxq} , 
was für lange und nicht ausgefallene Texte noch aufgespalten werden kann in 

{e} {n} {ir} {sat} {dhu} {Igo} {cm} {bfwkz} {pv} {jyxq} . 

Für die englische Sprache bestätigt sich die schon von L. D. Smith 1943 
angegebene Partition in Cliquen: 

{etaoin} {srh} {ld} {cumfpgwyb} {vk} {xjqz} , 

oder etwas feiner zerlegt, 

{e} {t} {aoin} {srh} {ld} {cumf} {pgwyb} {vk} {xjqz} , 

was für lange und nicht ausgefallene Texte noch aufgespalten werden kann in 

{e} {t} {ao} {in} {srh} {ld} {cu} {mf} {p} {gwy} {b} {v} {k} {xjqz} . 

Es ist somit ein interaktives Vorgehen angezeigt, das die Cliquen eine nach 
der anderen behandelt. Insbesondere wenn die Zerlegung fein genug ist, um 
Cliquen von nur zwei oder drei Elementen zu erlauben, ist der exhaustive 
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Aufwand machbar. Für das Beispiel des englischen Textes (Abb. 110) sind 
die Cliquen in Abb. 111 gegenübergestellt; um die 15 häufigsten Buchstaben 
auszurichten, wären theoretisch 4! x 3! x 2! x 4! = 6 912 Versuche auszuführen. 

{e} {t} {a} {noi} {rs} {h} {dl} {c} {mufp} {ygw} {b} {v} {k} {xzqj} 

{e} {t} {aoin} {srh} {ld} {cumf} {pgwyb} {vk} {xjqz} 

Abb. 111. Gegenüberstellung der Cliquen 

In diesem Fall war die Entzifferung immer noch recht gut, weil sich die Cli¬ 
quen nicht zu sehr überlappten und eine klare Lücke zwischen zwischen /a/ 
und /n/, zwischen /s/ und /h/ und zwischen /c/ and /m/ bestand. In solchen 
Fällen sind praktisch nur wenige Versuche notwendig. 

15 . 5.3 Für den kurzen Geheimtext ,Bölk von 15.3.1 mit den Häufigkei¬ 
ten in Abb. 103 zeigt Abb. 112 die Gegenüberstellung der Cliquen. Eine so 
feine Zerlegung in Cliquen wie eben gelingt nicht: 54 H und 41 Q legen 
nahe H=e and Q=n , aber angesichts der nächsten Häufigkeiten 36 D, 24 W, 
23 L, 22 V, and 21 K, kann eine Separation der Cliquen {ir} und {sat} nicht 
erfolgen. Aber D ist wohlsepariert und es sieht vielversprechend aus, 
D=i zu setzen. Das würde {rsat} mit {WLVK} konfrontieren, was 4!=24 Ver¬ 
suche bedeutet. Unglücklicherweise gibt keiner von diesen einen vernünftigen 
Text. In der Tat sind die nächsten beiden Häufigkeiten 19 U und 18 X so 
nahe, daß eine Überkreuzung in die Clique {dhu} möglich wäre. All dies 
würde bedeuten, daß 81 = 40 320 Versuche erforderlich wären, was außerhalb 
der Machbarkeit der Exhaustion liegt. Für kurze Texte, selbst wenn sie ein¬ 
fach monoalphabetisch chiffriert sind, gelingt eine rein mechanische Entziffe¬ 
rung nicht. Zumindest müssen andere stochastische Eigentümlichkeiten der 
Sprache, wie Bigrammhäufigkeiten, in Betracht gezogen werden (siehe 15.7). 

{h} {Q} {d} {luvwkx} {gojfpein} {rzcs} {ymbat} 

{e} {n} {i r} {a st} {hu d} {1 g o} {cm} {bfwk z} {p v} {j y x q} 
Abb. 112. Gegenüberstellung der Cliquen für den Geheimtext ,BölT von 15.3.1 

15 . 5.4 Für die englische Sprache gibt Tabelle 8 empirische relative Häufig¬ 
keiten fii = vfiijM als Resultat einer Auszählung durch Meyer & Matyas , 
basierend auf M = 4 000 000 Zeichen in einem Korpus von Alltagsenglisch. 
Solomon Kullback hat 1976 darauf hingewiesen, daß das Genre der Kommu¬ 
nikation zu starken Schwankungen führt, und unterscheidet ‘literary English 7 
mit einer Häufigkeit für /e/ von 12.77% von ‘telegraphic English 7 mit einer 
Häufigkeit für jej von 13.19%. Für die deutsche Sprache liefert die schon 
erwähnte Textbasis SZ3-92 mit insgesamt M = 681 972 Zeichen Resultate, die 
ebenfalls in Tabelle 8 verzeichnet sind. Die Häufigkeit von /e/ ist verzerrt 
durch die kryptographische Gewohnheit, /ä/, /ö/, /ü/ in /ae/, /oe/, /ue/ 
zu zerlegen. Die numerischen Werte in Tabelle 8 können als hypothetische 
Wahrscheinlichkeitsverteilung einer stochastischen Quelle dienen. 
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George K. Zipf und Benoit Mandelbrot haben empirische Formeln für die rela¬ 
tive Häufigkeit des A:-ten Buchstaben gegeben, die viele Sprachen erstaunlich 
gut treffen, nämlich 

p(k) oc 1 /k und p{k) oc l/(k + c) m für geeignete positive c, m . 

Die tatsächlichen, empirischen Häufigkeiten sind in Abb. 113a, 113b graphisch 
aufgetragen. Eine überzeugende theoretische Erklärung liegt nicht vor. 


Zeichen 

englisch 

deutsch 

Zeichen 

englisch 

deutsch 

a 

8.04% 

6.47% 

n 

7.09% 

9.84% 

b 

1.54% 

1.93% 

0 

7.60% 

2.98% 

c 

3.06% 

2.68% 

P 

2.00% 

0.96% 

d 

3.99% 

4.83% 

q 

0.11% 

0.02% 

e 

12.51% 

17.48% 

r 

6.12% 

7.54% 

f 

2.30% 

1.65% 

s 

6.54% 

6.83% 

g 

1.96% 

3.06% 

t 

9.25% 

6.13% 

h 

5.49% 

4.23% 

u 

2.71% 

4.17% 

i 

7.26% 

7.73% 

V 

0.99% 

0.94% 

j 

0.16% 

0.27% 

w 

1.92% 

1.48% 

k 

0.67% 

1.46% 

X 

0.19% 

0.04% 

1 

4.14% 

3.49% 

y 

1.73% 

0.08% 

m 

2.53% 

2.58% 

z 

0.09% 

1.14% 


Tabelle 8. Hypothetische Zeichenwahrscheinlichkeiten im Englischen und im Deutschen 


-_ 1 ^ ^ . 681972 

eni r s at dhul gocmbf wkzpvj yxq deutsch 


-V * « « . . 4000 000 

et aoi nsrhl dcumf pgwybvkxj qz englisch 


Abb. 113. Häufigkeiten der Einzelzeichen im Deutschen (Textbasis SZ3-92) 
und im Englischen (Auszählung Meyer-Matyas) 
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15.6 Abstandsminimierung 

15.6.1 Wir schließen an 15.2 an. Es sei M die Länge eines Textes T aus 
einer stochastischen Quelle Q mit den Wahrscheinlichkeiten pi für das Auf¬ 
treten des Tten Zeichens \i Ü = 1... N)\ mi sei die beobachtete Häufigkeit 
von Xi i m Text T, wobei m i ~ M . Die Häufigkeits-Abweichung des 
tatsächlichen Textes T von einem zu erwartenden Text T® gleicher Länge 
kann gemessen werden durch das Abstandsquadrat 

d(T,TQ) = Zt 1 (m-M- Pl ) 2 . 

a sei die Substitution, die die Geheimtextzeichen in die Klartextzeichen 
überführt. Der Wert von 

d a = d(T,T"«>) = Etlim - M-p a(t) ) 2 

ist ein Maß für die Übereinstimmung zwischen dem Geheimtext T mit den 
Häufigkeiten mi und dem zu erwartenden Geheimtext der Quelle cr(Q); 

milv d a = miiv “ M ' Pv(i)) 2 

charakterisiert die Substitutionen, die bestmögliche Übereinstimmung brin¬ 
gen und damit Kandidaten für die Entzifferung sind. Wegen der auftretenden 
Schwankungen sind aber auch Substitutionen er, für die d a in die Nähe des 
Minimums kommt, in Betracht zu ziehen, wobei sie mit wachsender Entfer¬ 
nung vom Minimum weniger und weniger in Frage kommen. 

15.6.2 Offensichtlich gilt ^2f=iPa(i) ~ ^2f=iPi und damit 

N N N N 

- M ■ p G (i)) 2 = + M 2 ^2Pi ~ 2Mmax^m, -p^) . 

2=1 2=1 2=1 2=1 

Zur Entzifferung genügt es also, folgendes Maximum zu suchen: 

max <r XAl m i ■ P<r(i) ■ 

Satz: Es sei für alle i > ra* + i . 

YliLi m i ' Pcr(i) wird genau dann maximal, wenn für alle i p a ^ > p a (i+i) . 

Beweis: Da jede Permutation als Kette zweigliedriger Vertauschungen 
dargestellt werden kann, genügt es, den Beitrag zweier Zeichen Xji Xk 
zur Summe zu betrachten. Dann ist 

m 3 ' Pcy(j) + m k ■ Pa(k) > inj ■ p a ( k) + m k ■ p a(]) genau dann, wenn 
{rrij - m k ) • (p a{j) - p a{k) ) > 0 , d.h. wenn p a{j) > p a{k) . txi 

Es ergibt sich also das erwartete Resultat, daß theoretisch die Entzifferung 
gelingen sollte mit einer Zuordnung nach der Häufigkeitsreihenfolge. Wegen 
der auftretenden Schwankungen ist das praktisch nur ungefähr richtig; es 
empfiehlt sich daher, von diesen Zuordnungen ausgehend paarweise Zeichen 
Xjj Xk zu vertauschen, beginnend mit möglichst kleinen Werten von 

(' m j ~ m k ) * ( Pa(j) ~ Pcr(k )) • 
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Beispiel: 

Mit den Wahrscheinlichkeiten pi von Tabelle 8 und der daraus resultierenden 
Häufigkeitsreihenfolge ergibt sich für den Geheimtext ,Bölk von 15.3.1 mit 
den in Abb. 103 angegebenen Häufigkeiten mi und einer Zuordnung nach 
deren Häufigkeitsreihenfolge für J2i=i m i ' P<r(i) ein Wert von 

2634.56% = M • 7.5489% ; 

vertauscht man die Zuordnung D=i, W=r zu der nach der Reihenfolge von 
Kaeding auftretenden D= r, W=i; so wird der Wert geringfügig geringer um 

(36 - 24) • (7.73% - 7.54%) = 2.28% = M • 0.0065% und wird 

2632.28% = M • 7.5424% . 

Für die tatsächliche Entzifferung errechnet sich ein Wert von nur 

2585.80% = M • 7.4092%. 

Der Wert von m i i n diesem Beispiel ist 9347 = M 2 • 7.67%, der Wert 
von J^iLiPi nac h Tabelle 8 beträgt 7.62%. 
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Tabelle 9. Bigramm-Häufigkeiten (in %%) im Deutschen (Textbasis SZ3-92) 
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15.7 Häufigkeit von Multigrammen 

Noch mehr als die Einzelzeichenhäufigkeit prägt die Häufigkeit von Multi¬ 
grammen eine Sprache. Die Multigramm-Häufigkeiten sind auch wesentlich 
weniger ausgeglichen. In kurzen Texten treten jedoch schon Bigramme so 
selten auf, daß die Schwankungseinflüsse erheblich sind. 

Invarianzsatz 3^: Für alle monoalphabetischen, funktionalen einfa¬ 
chen Substitutionen , insbesondere auch für alle linearen monoalphabe¬ 
tischen einfachen Substitutionen gilt: 

Partitionen der n-gramme innerhalb des Textes bleiben erhalten. 

15.7.1 Damit kann auch die Häufigkeit von n- grammen in einem Geheimtext 
zur Entzifferung herangezogen werden. Allerdings gibt es für N = 26 bereits 
676 Bigramme und 17 576 Trigramme; nur bei recht langen Geheimtexten 
wird man also einigermaßen genügend viele Bigramme und Trigramme fin¬ 
den. Eine Kryptanalyse monographischer Chiffrierungen aufgrund etwa von 
Bigrammen allein an Stelle von Einzelzeichen bringt keine großen Vorteile. 
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Tabelle 10. Bigramm-Häufigkeiten (in %%) im Englischen (nach O. Phelps Meaker ) 
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Die Häufigkeit von Bigrammen (einen Anhaltspunkt dafür geben Tabelle 9 
und Tabelle 10) und Trigrammen zeigt noch mehr Unausgeglichenheit 3 als die 
von Einzelzeichen. Die 18 häufigsten Bigramme im Deutschen (sie machen 
92.93% aller Bigramme aus) und die 19 häufigsten Bigramme im Englischen 
zeigen Tabelle 11 und Tabelle 12; die 112 häufigsten Trigramme im Deutschen 
(sie machen aber nur noch 52.11% aller Trigramme aus) und die 98 häufigsten 
Trigramme im Englischen finden sich in Tabelle 13 und Tabelle 14. Die 
Auszählungen streuen überdies sehr, wie man unschwer aus Tabelle 11 und 
Tabelle 12 ersieht. 4 Tabelle 9 und Tabelle 10 zeigen auch auf einen Blick, daß 
die Bigramm-Häufigkeitsmatrix nicht symmetrisch ist. Häufig vorkommende 
Bigramme mit seltenen Reversen (,Drehern 4 ) sind 

/th/, /he/, /ea/, /nd/, /nt/, /ha/, /ou/, /ng/, /hi/, /eo/, /ft/, /sc/, /rs/ , 

sie sind zum Auflösen von Cliquen nützlich. Dagegen kommen folgende Bi¬ 
gramme ungefähr gleich häufig vor: 

/er/ - /re/, /es/ - /se/, /an/ - /na/, /ti/ - /it/, /on/ - /no/, /in/ - /ni/, 
/en/ - /ne/, /at/ - /ta/, /te/ - /et/, /or/ - /ro/, /to/ - /ot/, /ar/ - /ra/, 
/st/ - /ts/, M- /si/, /ed/ - /de/, /of/ - /fo/ . 



Tabelle 9 

Bauer-Goos 

Valerio 

Eyraud 

er 

409 

340 

337 

375 

en 

400 

447 

480 

443 

ch 

242 

280 

266 

280 

de 

227 

214 

231 

233 

ei 

193 

226 

187 

242 

nd 

187 

258 

258 

208 

te 

185 

178 

222 

178 

in 

168 

204 


197 

ie 

163 

176 

222 

188 

ge 

147 

168 

160 

196 

es 

140 

181 


168 

ne 

122 

117 


143 

un 

119 

173 

169 

139 

st 

116 

124 


118 

re 

112 

107 

213 

124 

he 

102 

117 


124 

an 

102 

92 


82 

be 

101 

96 


104 


Tabelle 11. Die achtzehn häufigsten Bigramme im Deutschen (Häufigkeiten in %%) 


3 Beim Vergleich von Werten in der Literatur ist darauf zu achten, ob der Wortzwischen¬ 
raum unberücksichtigt bleibt; gelegentlich (so bei Fletcher Pratt 1939) werden nur Bi¬ 
gramme und Trigramme innerhalb von Wörtern gezählt. 

4 Häufigkeitstabellen für eine Reihe von indogermanischen Sprachen finden sich insbeson¬ 
dere bei H. F. Gaines und bei Ch. Eyraud. 
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Tabelle 10 
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Tabelle 12. Die neunzehn häufigsten Bigramme im Englischen (Häufigkeiten in %%) 


15.7.2 Nicht uninteressant sind auch die Häufigkeiten des Vorkommens von 
Wörtern. Die zehn häufigsten Wörter sind 


im Deutschen: 
im Englischen: 
im Französischen: 
im Italienischen: 
im Spanischen: 


die der und den am in zu ist daß es 
the of and to a in that it is I , 
de il le et que je la ne on les , 
la di che il non si le una lo in , 
de la el que en no con un se sa . 


Einbuchstabige Wörter sind im Englischen nur a und I , zweibuchstabig 
sind an at as he be in is it on or to of do go no so my . 


Die häufigsten Wörter in den indogermanischen Sprachen sind weit überwie¬ 
gend Formwörter 5 (mots vieles, non-content words , „inhaltsleere Wörter“), 
nämlich Artikel, Präpositionen, Konjunktionen und andere Hilfspartikel, im 
Gegensatz zu Begriffswörtern wie Substantiven, Adjektiven und Verben. 
Unter den 70 häufigsten Wörtern der englischen Sprache sind keine Begriffs¬ 
wörter, unter den 100 häufigsten sind nur 10 Begriffswörter. 


15.7.3 Die Häufigkeit eines Buchstabens hängt oft sehr von seiner Lage 
im Wort ab. Beispielsweise steht /e/ im Deutschen 

5 Im Englischen sind es gerade die Formwörter, die in Überschriften nicht groß geschrieben 
werden. 
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Tabelle 14. Die 98 häufigsten Trigramme im Englischen (Häufigkeiten in %%) 


an erster Stelle 7.7% an drittletzter Stelle 8 .8% 

an zweiter Stelle 21.7% an vorletzter Stelle 7.7% 

an dritter Stelle 16.5% an letzter Stelle 15.0% 

15 . 7.4 Auch wenn man (oder gerade weil man) professionell den Wort¬ 
zwischenraum unterdrückt, ist die mittlere Wortlänge eine nicht unwichtige 
Kenngröße einer Sprache, sowie die Vokalhäufigkeit und die Häufigkeit der 
fünf häufigsten Konsonanten {lnrst}. Angaben dazu finden sich in Tabelle 15. 

Im Deutschen sind die Wortlängenhäufigkeiten folgendermaßen verteilt: 
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15.7.5 Vokale und Konsonanten wechseln sich oft gegenseitig ab. Vokale 
bilden das sangliche Lautgerüst einer Sprache. Im Französischen können 
sie sehr gehäuft auftreten: ome, aieul Konsonanten, die im Arabischen das 
Schreibgerüst einer Sprache bilden, treten in slawischen Sprachen ebenfalls oft 
gehäuft auf: czyszczenie (polnisch), cvfcak (serbokroatisch), nebezpecenstvi 
(tschechisch). Im Walisischen kommen noch seltsamere Wortungetüme vor: 
Llanfairpwllgwyngyllgogerychwyrndrobwllllantysiliogogogoch ist der Name 
einer Bahnstation. Auch rhy ddrwg (,zu dumnfi) ist bemerkenswert: y und 
w bezeichnen Vokale. Im Englischen sind Wörter mit 4-Konsonanten-Folgen 
wie sixths sehr selten; im Deutschen sind Schlacht, schlecht, schlicht, Schlucht 
acht buchst abige Wörter mit nur einem Vokal, durch Zusammensetzung erhält 
man Wörter mit 7-Konsonanten-Folgen wie Erstschlag. Auch Vokalabstände 
haben typische Häufigkeiten: Im Deutschen (ohne Zwischenräume) 
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15.7.6 Für informal ciphers , die Wortzwischenräume (und eventuell auch 
Interpunktionen) beibehalten, enthalten Bigrammtabellen natürlich auch 
Häufigkeiten für an- und auslautende Buchstaben, Trigrammtabellen Häufig¬ 
keiten für an- und auslautende Bigramme und für einbuchstabige Wörter. 
Werden Zwischenräume (und Interpunktionen) nicht unterdrückt, so müssen 
sie zumindest in die Chiffrierung einbezogen werden; damit wird der Zwi¬ 
schenraum zum häufigsten Zeichen, geringfügig häufiger als das jej . 

Werden aber Zwischenräume (und Interpunktionen) durch sich selbst chif¬ 
friert, wie das für die aristocrats üblich ist, läuft das darauf hinaus, daß ein 
Zeichen von vornherein entziffert ist. Das erleichtert natürlich jeden Einstieg 
ganz bedeutend. Erfahrene Kryptologen lesen solche in formal ciphers manch¬ 
mal auf den ersten Blick ( “Not infrequently, the cryptogram which retains 
its word-divisions can be read at sight ... and this regardless of how short it 
may be” Helen Fouche Gaines 1939). 

In der professionellen Kryptologie verwendet man jedenfalls, wie wir es getan 
haben, aus guten Gründen formal ciphers. Wenn aus technischen Gründen, 
wie im Fernschreibbetrieb und bei Verwendung eines ASCII-Codes, Sonder¬ 
zeichen verfügbar sind, so heißt das noch lange nicht, daß sie bedenkenlos be¬ 
nutzt werden müssen — ein gut ausgebildeter und verantwortungsbewußter 
Kryptosekretär wird das wissen. 
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mittlere Vokal- {lnrst}- seltene 

Wortlänge häufigkeit Häufigkeit Buchstaben 
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Tabelle 15. Kenngrößen verschiedener Sprachen 


15.8 Die kombinierte Methode der Häufigkeitserkennung 

Zur Mechanisierung der Entzifferung monoalphabetischer einfacher Substitu¬ 
tionen, insbesondere bei kürzeren Texten in einer bekannten Sprache, ist es 
angezeigt, die Häufigkeiten von Einzelzeichen, von Bigrammen und even¬ 
tuell von Trigrammen kombiniert heranzuziehen, und zwar so, daß man 
Bigrammhäufigkeiten betrachtet, wenn eine Clique von Zeichen durch Ein¬ 
zelhäufigkeiten nicht getrennt werden kann; Trigrammhäufigkeiten betrach¬ 
tet, wenn eine Clique von Bigrammen durch Bigrammhäufigkeiten nicht ge¬ 
trennt werden kann. Über Trigramme wird man nicht gerne hinausgehen. So¬ 
fern dabei keine Mustererkennungstechniken (^wahrscheinliche Wörter 4 ) her¬ 
angezogen werden, spricht man von ciphertext-only attack und pure crypt- 
analysis , die nur eine Annahme über die vorliegende Sprache braucht. 

15 . 8.1 Für folgenden Geheimtext von 280 Zeichen (Kahn 1967) 
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ergibt die Häufigkeitszählung der Buchstaben 

17 4 13 0 7 17 23 26 5 12 3 2 2 36 25 1 5 0 0 23 20 3 6 9 13 8 
ABCDEFGHI JKLMNOPQRSTUVWXYZ 

Es besteht kein Anklang an ein verschobenes Häufigkeitsgebirge, es darf also 
nicht mit dem Vorliegen einer CAESAR-Addition gerechnet werden. Die 
Häufigkeitsreihenfolge ist 

36 26 25 23 23 20 17 17 13 13 12 9 8 7 6 5 5 4 3 3 2 2 1 0 0 0 
NHOGTUAFCYJ XZEWI QBKVLMPDRS 
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Tabelle 16. Bigrammtabelle für die 13 häufigsten Buchstaben im Englischen 
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Tabelle 17. Bigramm-Auszählung, geordnet nach Einzelzeichenhäufigkeit 

Den Umständen nach ist zu erwarten, daß es sich um einen englischen Text 
handelt. Eine Gegenüberstellung mit der Häufigkeitsreihenfolge des Engli¬ 
schen nach Kahn 

et aoni r s hdl ucmpf ywgbvj kqxz . 
legt angesichts des deutlichen Abfalls von 17 auf 13 zumindest eine Cliquen¬ 
bildung {e} {t} {aonirs} nahe. Es sollte also 

N = e , H = t und {OGTUAF} = {aonirs} sein. 

Zur Auflösung der letzteren Unsicherheit setzt nun die Betrachtung der Bi- 
grammhäufigkeit ein. Tabelle 16 zeigt den relevanten Ausschnitt aus einer 
Bigrammtabelle für die englische Sprache (10000 Zeichen), Tabelle 17 die 
Bigramm-Auszählung des Textes, geordnet nach Einzelzeichenhäufigkeit. 
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Tabelle 16 zeigt, daß /a/, /i/ und /o/ untereinander Kontakt (engl, a fEnity) 
meiden, mit Ausnahme des Bigramms /io/ . /oi/ kommt jedoch nur selten 
vor. In der Auszählung, Tabelle 17, meiden O, U und A ebenfalls Kontakt, 
OA kommt zweimal vor gegenüber keinmal AO . Es sollte also 

O = i , A = o und somit auch U = a 

gelten. Daß dann zu OU gerade /ia/ gehört, das häufig vorkommt, paßt. 
Überdies kommt NU, das für /ea/ stünde, häufig vor, während UN, das 
gar nicht vorkommt, für das seltene /ae/ stünde. Damit wäre die umfang¬ 
reiche Clique {aonirs} aufgespalten und es verbleibt nur noch die Clique 
{GTF}={nrs} , die sogar exhaustiv behandelt werden könnte. 

Die hier getroffene Argumentation betrifft Zeichen, die Kontakt meiden. Daß 
dies gerade Vokale sind, ist eine Eigentümlichkeit des Englischen; die in 
der angelsächsischen Literatur zu findende Bezeichnung ‘Vowel-Solution Me- 
thod’ (Helen Fouche Gaines 1939) ist also akzidentell. In anderen Sprachen 
haben Vokale durchaus keine Tendenz, Kontakt zu vermeiden. 

Übrigens zeigt auch der Konsonant /n/ Kontakteigentümlichkeiten: /n/ 
geht sehr häufig ein Vokal voraus. Dies zeichnet T vor G, F und der Clique 
{C, y} aus. Also steht zu vermuten, daß 

T = n 

gilt. Für /r/ und /s/ ist weniger zu gewinnen. Am auffallendsten ist /h/: 
/th/ ist überaus häufig, /he/ und /ha/ sind häufig. Die noch verbleibenden 
G, F und C zeigen keine entsprechenden Kontakte; dies legt nahe, daß 

Y = h 

gilt. Tatsächlich erfüllt Y das Verlangte: HY (für /th/) kommt sehr häufig, 
YN (für /he/) und YO (für /ha/) kommen häufig vor. 

Damit haben wir sieben der zehn häufigsten Geheimtextzeichen bestimmt: 

NHUATO**Y***************** 
et aoni rshdl ucmpf ywgbvj kqxz. 


15.8.2 Die Lösung sollte nach diesem etwas mühseligen Einstieg „im 
Trab“ gehen. Tatsächlich ergibt sich aus dem bereits Erreichten 
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Einzelne Ergänzungen fallen sofort auf: In der ersten Zeile Mith bedeutet 
with , woraus M = w ; und JnKnown bedeutet unknown , woraus 

J = u , K = k . thinW in der zweiten Zeile bedeutet thing , woraus 

W = g ; in der vierten Zeile bedeutet IethoZ /method/ , woraus I = m , 

Z = d ; das Wort /intuition/ paßt. Des weiteren sollte man nach Stellen 

suchen, an denen die noch fehlenden Buchstaben aus der Clique {hdlcwum}, 
nämlich /l/ und /c/ , Vorkommen könnten. 

Viel weiter kommt man jedoch mit einer vorherigen Bestimmung von G und 
F . Man kann nach allem ziemlich sicher sein, daß {GF}={rs}. Das Vorkom¬ 
men von FG in der zweiten Zeile und der Umstand, daß das Bigramm /sr/ 
sehr selten ist, läßt es wert erscheinen, 

G = s , F = r 

zu versuchen. Das ergibt die Teilentzifferung 
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Nun liest man in der ersten Zeile sJXXess = suXXess als /success/ , woraus 
X = c , und ZeaCinW = deaCing als /dealing/ , woraus C = 1 . 

Insgesamt kennt man jetzt alle bis auf einige der seltenen Buchstaben: 

NHUATOFGYZCJ XI ***MW***K*** 
etaoni rshdl ucmpfywgbvj kqxz. 


Der sich ergebende Text liest sich bereits in flüssigem Galopp: 
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Der Reihe nach ergänzt man jetzt mühelos B = p , V = b , Q = y , E = f; 
hat dann in der dritten Zeile mit rname doers eLera nceca vielleicht eine 
Schwierigkeit; findet weiter in der sechsten/siebten Zeile altex tisve rydes , 
also p = x , L = v , Q = y . Damit findet man auch drei Chiffrierfehler: 

In der dritten Zeile muß die vierte Gruppe ZBNFG lauten; 

in der siebten Zeile muß die dritte Gruppe NVJHT lauten; 

in der achten Zeile muß die erste Gruppe OGHYN lauten. 

15 . 8.3 Wenn das nicht genügen sollte, um die Korrektheit der Entzifferung 
zu erhärten, so kann man auch noch den Schlüssel aufstellen: Bis auf die drei 
nicht vorkommenden Buchstaben erhält man 

abcdef ghi j kl mnopqrst uvwxyz 
UVXZNEWYO* KCl TAB* FGHJ LMPQ* . 

Das Kennwort NEWYORKCIT(Y) springt ins Auge und liefert noch Chiffren 
für die drei gar nicht vorkommenden Zeichen R = j, D = q, S = z. 

Die Botschaft lautet in menschenfreundlicher Form, Chiffrierfehler bereinigt: 

“Success in dealing with unknown ciphers is measured by these four 
things in the Order named: perseverance, careful methods of analysis, 
intuition, luck. The ability ai least to read the language of the original 
text is very desirable, but not essential .” Such is the opening sentence 
of Parker Hitt’s u Manual for the Solution of Military Ciphers 

So nämlich beginnt Parker Hitts 6 “Manual for the Solution of Military Ci¬ 
phers” . Der letzte Satz drückt aus, daß semantische Unterstützung nicht aus¬ 
schlaggebend ist; er sollte als Ermutigung verstanden werden, einen beträcht¬ 
lichen, wenn auch nicht den wesentlichen Teil der unbefugten Entzifferung 
maschinell durchführen zu lassen. 

Man beachte, daß diese Entzifferung ausschließlich mit Einzelzeichen- und 
Bigramm-Häufigkeitsbetrachtungen, also aufgrund von Satz 3 und Satz 3^ 2 \ 
durchgeführt wurde, und auf naheliegende andere Zugänge, wie Musterer¬ 
kennung, verzichtet wurde. Über gemischte Methoden mehr in 15.10. 

15 . 8.4 Die korrekte Entzifferung zeigt eine Anpassung der beobachteten 
Bigrammhäufigkeiten und der auf grund der Wahrscheinlichkeiten erwarte¬ 
ten Häufigkeiten. Tabelle 18 bringt die (gerundeten) Erwartungswerte der 
Bigrammhäufigkeit für die dreizehn häufigsten Buchstaben im Englischen und 
die im obigen Beispiel tatsächlich auftretenden Bigrammhäufigkeiten — nach 
geeigneter Permutation. Eine Anpassung der Bigrammhäufigkeiten hat wie 
in 15.6 die Aufgabe, Permutationen zu bestimmen, die eine möglichst gute 


6 Colonel Parker Hitt (1877-1971) publizierte 1916 eines der ersten seriösen Bücher über 
Kryptologie in den Vereinigten Staaten und beschäftigte sich darin als erster mit der 
systematischen Entzifferung von PLAYFAIR. 1914 konstruierte er die Streifen-Version 
von Bazeries Zylinder (7.5.3). Hitt war später ein Vice-President von AT&T und Presi¬ 
dent von dessen kryptologischer Tochter International Communication Laboratories. 
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Tabelle 18. Erwartungswerte für die Bigrammhäufigkeit und ausgezählte 
Bigrammhäufigkeiten (nach geeigneter Permutation) 


Übereinstimmung der beobachteten Bigrammhäufigkeiten mit den erwarte¬ 
ten ergeben. Auch hier ist maschinelle Durchführung möglich. 

15 . 8.5 Manchmal ist es einfacher, statt den Text zu rekonstruieren, den aus 
einem Kennwort abgeleiteten Schlüssel (sofern das so ist) zu rekonstruieren. 
Diese Schlüsselrekonstruktion könnte im obigen Beispiel bereits einsetzen, 
sobald der Einstieg geschafft ist: Hat man die Zuordnung 

U***N**YO****TA**FGH****** 
abcdef ghi j kl mnopqrst uvwxyz 

gefunden, so drängt sich auf, von den vier Buchstaben B C D E zwei zwischen A 
und F einzusortieren, die zwei übrigen zum Aufbau des Kennworts zu nutzen. 
Von den sechs Fällen führt exhaustiv im weiteren Verlauf zum Erfolg das 
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Einsortieren von B und D mit der sich ergebenden teilweisen Zuordnung 
U***NE*YO**C*TABDFGH****** 
abcdef g h i j kl mnopqrst uvwxyz 
— ein zwar spekulatives, aber intellektuell reizvolles Vorgehen. 

15.9 Häufigkeit ser kennung 

für polygraphische Substitutionen 

Polygraphische Substitutionen kann man wie einfache Substitutionen behan¬ 
deln, wenn man m -gramme als Einzelzeichen auffaßt. Allerdings bekommt 
man dann ein umfängliches Alphabet von N m Zeichen. Von den 676 Epigram¬ 
men des normalen Englisch kommen jedoch normalerweise nur rund dreihun¬ 
dert vor (Tabelle 10), von den 17576 Trigrammen auch nicht viel mehr. Es 
besteht auch eine ausgeprägte Häufigkeitsverteilung, die einen Einstieg in die 
unbefugte Entzifferung erleichtert. 

15 . 9.1 Trivial wird die Aufgabe, wenn zwar für die Zeilen- und Spalten¬ 
eingänge Schlüsselwörter benutzt werden, die Matrix aber die Standardma¬ 
trix (vgl. 4.1.2) ist: 

a m e r i c ... 
e AA AB AC AD AE AF ... 

q BA BB BC BD BE BF ... 

U CA CB CC CD CE CF ... 

a DA DB DC DD DE DF ... 

1 EA EB EC ED EE EF ... 

i FA FB FC FD FE FF ... 


Es handelt sich dann lediglich um eine monographische 2-alphabetische Chif¬ 
frierung mit der Periode Zwei (siehe 17. Kapitel). 

15 . 9.2 Ein vor allem bei Amateuren beliebtes, aber neuerdings eher be¬ 
deutungsloses polygraphisches Verfahren, PLAYFAIR (vgl. 4.2.1), ist nicht 
nur in seiner Komplexität sehr eingeschränkt, sondern zeigt auch verborgene 
Symmetrien: Zu jeder Playfair-Matrix ist jede durch waagrechtes und/oder 
senkrechtes Abrollen des Torus entstehende Playfair-Matrix äquivalent: 


PALME 

R S T O N 

B C D F G 

H I K Q U 

V WX Y Z 


L ME P A 

T O N R S 

D F G B C 

K Q U H I 

X Y Z V W 


U H I K Q 
Z V WX Y 
E P A L M 
N R S T O 
G B C D F 


Bezeichnend für diese Einschränkung ist vor allem, daß für ein Klartextbi- 
gramm, das einen Buchstaben X enthält, das Chiffren-Bigramm nur aus zwei 
von gewissen acht Buchstaben aufgebaut ist, nämlich denen, die in der Zeile 
von X oder in der Spalte von X stehen. Überdies ist die Chiffre eines re- 
vertierten Bigramms oft die Revertierung der Chiffre des Bigramm immer 
dann nämlich, wenn ein ,Überkreuz-Schritt‘ angewandt wurde. 
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Die Bigrammhäufigkeiten des Geheimtextes entsprechen denen der Sprache. 
Die Einzelzeichenhäufigkeiten sind jedoch typischerweise verändert, und zwar 
dahingehend, daß eine umfänglichere Clique häufigerer Zeichen, und eine 
umfänglichere Clique seltenerer Zeichen entsteht. 

Intuitive Lösungsmethoden für PLAYFAIR basieren auf der Bigrammhäufig- 
keit in Verbindung mit den eben erwähnten Eigentümlichkeiten, wobei auch 
wahrscheinliche Wörter herangezogen werden. Sie wurden erstmals systema¬ 
tisch 1916 von Colonel Parker Hitt , 1918 von Andre Langie und 1922 von 
W. W. Smith untersucht. PLAYFAIR wurde im 2. Weltkrieg, wo immer es 
noch eingesetzt wurde, regelmäßig gebrochen; auch dem modifizierten PLAY¬ 
FAIR (4.2.2), das von den unteren Einheiten des Deutschen Afrikakorps ver¬ 
wendet wurde, ging es nicht besser. 

Normalerweise nimmt der unbefugte Entzifferer an, daß er die Phasenlage 
einer polygraphischen Entzifferung kennt. Das kann ein frommer Wunsch 
sein: Setzt man vor eine Geheimnachricht in PLAYFAIR eine vereinbarte 
ungerade Anzahl von Blendern, so ist die Nachricht ,außer Phase‘. Zwar 
macht es nicht viel aus, zwei Fälle durchzuprobieren, aber der unbefugte 
Entzifferer muß darauf vorbereitet sein, um sich nicht zu verrennen. 

15.10 Freistil-Methoden 

Eine klare Trennung der Methoden, wie wir sie vorgenommen haben, dient 
vor allem dem Verständnis und ist unumgänglich, wenn maschinelle Un¬ 
terstützung programmiert werden soll. Das Zusammenspiel der so verfügbar 
gemachten Methoden kann den Wert jeder einzelnen erhöhen. Dieses Zu¬ 
sammenspiel kommt besonders zur Geltung, wenn ein erfahrener Kryptana- 
lyst „von Hand“ arbeitet die Literatur kennt einige einschlägige Berichte, 
so von Bazeries , von Hitt , von Friedman — oder wenn phantasiebegabte 
Amateure bis hin zu Babbage am Werk sind. 

15.10.1 Ein besonders hübsches Beispiel ist in die Weltliteratur eingegan¬ 
gen. Im Jahre 1843 schrieb Edgar Allan Poe (1809-1849) die Abenteuer¬ 
erzählung “The Gold-Bug” , die eine chiffrierte Nachricht und ihre Auflösung 
enthält. Lustigerweise besteht das Chiffrenalphabet nicht aus Buchstaben, 
sondern aus Ziffern und sonstigen Lettern, die der Buchdrucker greifbar 
hat Poe war eben ein komme de lettres^>. Der Geheimtext von 203 Zei¬ 
chen lautet 7 

53ttf305))6*; 4 8 2 6 ) 4 t . ) 4 } ) ; 806*; 4 8 f 8 1f 
6 0 ) ) 8 5; 1 } ( ; : t*8f83(88)5*f; 4 6 ( ; 88*96* 

? ; 8 ) * } ( ; 485); 5 * j 2 : * } ( ; 4956*2(5*-4)8^[ 

8*; 4069285); ) 6 f 8) 4 } } ; 1 ( } 9; 48081; 8: 8 } 


7 Die zahlreichen Nachdrucke und Übersetzungen von Poes Geschichte strotzen von Setz¬ 
fehlern in diesen sechs Zeilen. Man sieht, wie schwierig für einen Setzer die Arbeit ist, 
wenn er keine semantische Rückkontrolle hat. 
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1; 4 8 f 8 5; 4)485f528806*81(t9; 48; (88; 4( 
t ? 3 4; 4 8)4$; 161; : 188; f ? ; 

und Poe läßt Legrand , den Helden der Geschichte, mit der Bemerkung begin¬ 
nen, daß es sich wohl um ein System (er nennt es ‘cryptograph ’) handelt, das 
den Geisteskräften von Captain Kidd, dem Bösewicht der Geschichte, ange¬ 
messen war, also ‘a simple species’, nichtsdestoweniger für einfache Matrosen 
undurchschaubar. Legrand , der sich brüstet, viel tausend mal komplizier¬ 
tere Geheimnachrichten gebrochen zu haben, stellt dann fest, daß nach den 
geographischen Umständen Französisch oder Spanisch als Sprache in Frage 
käme, daß aber glücklicherweise die Unterschrift ‘Kidd’ klarer weise auf Eng¬ 
lisch hindeute. Auch bemerkt er, daß das Fehlen von Wortzwischenräumen 
(und Interpunktionen) die Aufgabe erschwere. Er stellte deshalb die Einzel- 
zeichen-Häufigkeitstabelle auf, die da ist 

33 26 19 16 16 13 12 11 10 8 8 6 5 5 4 4 3 2 1 1 

8; 4 { ) *56( f 1092: 3 ? ^[ - . 

und beginnt mit der naheliegenden Annahme 8 = e , die durch das häufige 
Vorkommen des Doppel-e — eine Bigramm-Uberlegung — noch gestützt wer¬ 
de. Dann sucht er nach dem häufigsten Trigram /the/ , nämlich nach einem 
wiederholten Muster mit 8 am Ende. Er findet sieben Vorkommen von 
;48 , und nimmt weiterhin an ; = t , 4 = h . 

Thus, a great step has been taken’ läßt Edgar Allan Poe ihn sagen. Der 
Einstieg ist bereits gelungen. Die vorletzte Zeile wird zu 

Ithefe5th)he5f52ee06*el(j9thet(eeth( 

thet(ee gegen Ende der Zeile läßt ihn sofort an ( = r denken. Das ergibt 
fortgesetzt thetreethrj?3hthe und suggeriert /thetreethroughthe/ , also 
t = o , ? = u, 3 = g . Des weiteren findet er in der zweiten Zeile $83(88, 
d.h. fegree als /degree/, was f = d mit sich bringt, und vier Zeichen 
weiter ;46(;88*, d.h. thßrtee* , als /thirteen/, woraus 6 = i und * = n . 

Nun sind fast alle der häufigen Zeichen (bis auf a und s) bestimmt. Der 
teilentzifferte Text lautet jetzt 

5goodg05))inthe2i)ho. )ho)teOinthede^[ 
i 0) ) e 5 t lort : onedegree) 5 ndt hi rteen9i n 

ut e) no r t he 5) t 5 nd2: nor t h95i n2r 5n-h) e^ 

enthOi 9 2 e 5) t ) i de)hootlro9the0elte: eo 
Ithede5th)he5d52ee0i ne 1r 0 9t he t r e e t hr 
oughthe)hotlilt:leetout 

und man liest heraus 

5 = a , ) = s , sowie weiterhin der Reihe nach 

0 = 1, 2 = b , . = p , 1f = v , 1 = f , : = y , 9 = m , - = c . 
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Die Chiffriertabelle lautet 

8; 4 f ) *56( f 1092: 3 ? f - . 

ethosnai rdfl mbyguvcp 

und der Klartext in menschenfreundlicher Form 

‘A good glass in the Bishop’s hostel in the Devil’s seat — forty-one degrees 
and thirteen minutes — northeast and by north — main branch seventh limb 
east side — shoot from the left eye of the death ’s-head — a bee-line from the 
tree through the shot ßfty feet out.’ 

Was der Klartext bedeutet, ist allerdings eine Sache für sich; hier muß der 
Leser zum Original von Edgar Allan Poe greifen. 

15 . 10.2 Bezeichnenderweise war kein Wort darüber zu verlieren, ob die 
Chiffrierung etwa polyalphabetisch sei. Poe war monoalphabetisch einge¬ 
stellt. 

15.11 Nochmals: Unizitätslänge 

Die Kenntnis der Wahrscheinlichkeit von n -grammen erlaubt auch, zu ver¬ 
stehen, wie bei der Exhaustion in 12.5 das Herauslesen des „richtigen“ Klar¬ 
textes zustande kommt und wieso es eine ,Unizitätslänge‘ (12.6) gibt. Eine 
unwahrscheinliche Buchstabenfolge ist kaum eine „richtige“ Nachricht, eine 
Buchstabenfolge aber, die eine Wahrscheinlichkeit nahe bei Eins besitzt, kann 
man als „richtige“ ansehen. Die Unizitätslänge ist die kleinste Länge des Tex¬ 
tes, die für irgendeine Dechiffrierung eine Wahrscheinlichkeit nahe bei Eins 
(und für alle anderen Dechiffrierungen eine Wahrscheinlichkeit nahe bei Null) 
zustandebringt. 

Das Herauslesen des „richtigen“ Klartextes durch einen Menschen (‘running 
down the list’), das durch einen optischen und cerebralen Perzeptionsvorgang 
geschieht, kann durch eine statistische Analyse simuliert werden. 

Für das Beispiel von 12.5, Tabelle 5, und zwar beginnend mit der sechsten 
Spalte, zeigt dies Tabelle 19. Die Wahrscheinlichkeiten sind auf grund der in 
15.5.1 erwähnten Textbasis SZ3-92 bestimmt und auf 100% hochgerechnet. 
Es zeigt sich deutlich, wie schon bei der Länge 3 das SCH 90.5% ausmacht, 
gefolgt von TDI mit 8.5%, und alle anderen Trigramme bis auf HRW mit 
0.45% und vielleicht EOT mit 0.11% und LVA mit 0.11% abgeschlagen sind; 
bei der Länge 4 kommt EOTA mit 1.27% noch ein wenig hoch; bei der Länge 
5 ist für SCHON schon alles klar. Die Unizitätslänge ist in diesem Beispiel 5, 
wenn nicht gar 4 . 

Diese Exhaustion hat aber ihre Grenzen, wenn sie in die Zehntausende von 
Versuchen geht, und scheidet für volle monoalphabetische Substitution aus, 
wenn keine weitere Information herangezogen werden kann. 

u No monoalphabetic Substitution can 
maintain security in heavy trafhc.” 

David Kahn 1967 
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VFKRQ 
WG LSR 
XHMT S 
Y I NUT 
Z J O VU 
AK PWV 
B L QXW 
CMR YX 
D N S Z Y 
EOTAZ 
F P U B A 
GQ VC B 
HRWDC 
I S XED 
J T YF E 
KU Z G F 
L V AHG 
MWB I H 
NXC J I 
O YDK J 
P Z E L K 
Q A FML 
RB GNM 
SCHON 
TD I P O 
U E J Q P 


Tabelle 19. 


Länge 1 Länge 2 Länge 3 Länge 4 Länge 5 


0.76 

0.02 


2.03 

0.04 


0.01 

0.01 


0.01 

0.06 

0.06 

1.21 

0.03 

0.05 

5.96 

1.88 

0.01 

1.77 

2.35 


3.17 

0.03 


5.22 

1.44 

0.01 

17.98 

1.58 

0.11 

1.23 

0.19 

0.03 

3.25 



4.61 

9.54 

0.45 

7.97 

20.30 

0.01 

0.06 



1.12 

2.34 


3.19 

0.71 

0.11 

2.47 

0.86 


11.06 

0.03 


2.00 

0.14 

0.01 

0.59 

0.05 


0.01 



6.42 

6.38 

0.05 

7.48 

22.84 

90.51 

5.55 

9.09 

8.56 

4.87 

20.09 

0.03 


1.27 


98.73 100.00 


100.00 100.00 100.00 100.00 100.00 


Schrittweise Aussiebung der Nachrichten 
nach der n-gramm-Wahrscheinlichkeit (in %) 



16 Kappa und Chi 


“Riverbank Publication No. 22, 
written in 1920 when Friedman was 28, 
must be regarded as the most important 
single publication in cryptology 
David Kahn 1967 

“The index of coincidence was the most ubiquitous 
of the new theoretically justißed Statistical procedures. 
It was a formal and universal method that could not be 
made worthless by a slight change in a cipher System 

Colin Burke 1994 

Es mag überraschen, daß man von einem vorgelegten monoalphabetisch chif¬ 
frierten Text leichter sagen kann, ob er englisch oder französisch ist, als ihn 
zu entschlüsseln. Dies gilt natürlich auch für Klartext: Es gibt ein einfaches 
Verfahren, genügend langen Klartext auf Zugehörigkeit zu einer bekannten 
Sprache zu untersuchen, ohne von ihm „Kenntnis zu nehmen“ — ohne seine 
Syntax und Semantik zu betrachten. Ebenso gibt es ein einfaches Verfahren, 
um von zwei Texten — ohne sie in Augenschein zu nehmen — zu entscheiden, 
ob sie in der selben Sprache abgefaßt sind oder nicht. 


16.1 Definition und Invarianz von Kappa 

Vorgelegt seien zwei Texte T = (t\, £ 2 , £3, • • • £m) 7 T' = (Ü, t' 2 ,t ' 3 ,... t' M ) 
gleicher Länge M über dem selben Zeichenvorrat. Die relative Häufigkeit 
der zeichenweisen Übereinstimmung in den übereinandergelegten Texten (die 
Zeichenkoinzidenz) soll als das Kappa der beiden Texte bezeichnet werden 
(W. F. Friedman 1922, ‘index of coincidence\ abgekürzt oft IC ). Es ist also 


M 


Kappa{T,T') = 

ß= 1 

mit der Indikatorfunktion (,Delta-Funktion 6 ) 

_ J 1 falls x — y 


ä(l ' 9l = {o s o„ s , 
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Beispiel 1 (M = 180) 

T: estauchtvonzei tzuzei ti mme rwi ederei nm 

T'\ unter schwei zerpol i ti kernwaechstdi ean 
* * * * 

a 1 auf u mk urzdaraufei 1 ferti gde me n t i e r t 

gst dennaechst enzugri cht ungegzuverpas 

* 

z uwe r de ndas ge r ue c ht das s s i chdi eoel exp 

senaussenmi ni sterrenefel bersahsi chj e 

* 

orti erendenl aendervo md ol 1 arl oesen wo 1 
t zt ueberraschendei nerf orderungausdem 

1 enzuverdenkenwaereesi hnenf rei 1 i chni 
staenderatausgesetzteinbeitrittsgesu 

Beispiel 2 (M = 180) 

T: theprecedi ngchapterhasi ndi cat edhowam 

T': wo u 1 d s e e mt hatonewaytoobtai ngreaterse 
* * * 

onoalphabeticciphercanbesolvedevenif 

curi t ywoul dbetouse mo r et hanoneal phabe 

* * 

theori gi nal wordl engt hs ar econceal edan 
ti nenci pheri nga me ssagethegeneral syst 

dthesubsti tuti onal phabeti srandomi ti s 

e mc oul dbe one t hat ns e s anumb erofdiffere 
* * 

possi bl etofi ndasol uti onbyusi ngf reque 

ntal phabetsforenci pher me nt wi t hanunde 

* * 

Es ergibt sich in Beispiel 1 Kappa(T,T') — 21/180 = 11.67%; in Beispiel 2 
KappaiT, T f ) = 14/180 = 7.78%. 

16 . 1.1 Selbstverständlich gilt 
Kappa(T,T') < 1 , wobei 
Kappa(T , T f ) = 1 genau dann, wenn T = T f . 

Empirisch findet man, daß genügend lange Texte aus ein und der selben 
Sprache S (bzw. des selben Genres dieser Sprache) ziemlich übereinstimmen¬ 
de Werte von Kappa(T,T f ) haben, daß sich aber der Wert von Sprache 
zu Sprache ändert. So findet man folgende Werte für : 
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S N Kullback 1976 Eyraud 1953 


Englisch 

26 

6.61% 

6.75% 

Deutsch 

26 

7.62% 

8.20% 

Französisch 

26 

7.78% 

8.00% 

Italienisch 

26 

7.38% 

7.54% 

Spanisch 

26 

7.75% 

7.69% 

Japanisch (Romaji) 

26 

8.19% 


Russisch 

32 

5.29% 

4.70% 


Die Werte in der Literatur streuen noch sehr: 6.5 bis 6.9% für Englisch, 7.5 
bis 8.3% für Deutsch. Auf der Basis des in 15.5.1 erwähnten Textmaterials 
ergibt sich für das Englische ein Wert n e = 6.58%, für das Deutsche ein Wert 
Kd = 7.62%, in guter Übereinstimmung mit den Werten von Kullback. 

Die Werte für das empirische Kappa einer Sprache S, spiegeln etwas die 
Redundanz der Sprachen wider: Die Übersetzung des Markus-Evangeliums, 
die im Englischen 29 000 Silben hat, hat (nach Mencken ) in den germanischen 
Sprachen im Mittel 32 650 Silben, in den romanischen Sprachen im Mittel 
40 200 Silben, in den slawischen Sprachen im Mittel 36 500 Silben. Aber es 
besteht kein strenger Zusammenhang. 

16 . 1.2 Evident erweise hat man 

Invarianzsatz 5: Für alle polyalphabetischen , funktionalen monogra¬ 
phischen Chiffrierungen, insbesondere für alle linearen polyalphabeti¬ 
schen monographischen Chiffrierungen gilt: 

Das Kappa zweier (gleichlanger) Texte, die mit dem gleichen Schlüssel 
chiffriert werden, bleibt erhalten. 

Invarianzsatz 6: Für alle Transpositionen gilt: 

Das Kappa zweier (gleichlanger) Texte, die mit dem gleichen Schlüssel 
chiffriert werden, bleibt erhalten. 

Soweit das Kappa also für eine in Frage kommende Sprache kennzeichnend 
ist, läßt sich die Sprache aus dem Chiffrat erkennen. 

16 . 1.3 Der Erwartungswert für das Kappa zweier Texte (mit gleichem 
Alphabet) errechnet sich aus den Wahrscheinlichkeiten pi, p[ des Auftretens 
der Zeichen in den ,stochastischen Quellen 4 Q, Q' der Sprachen: Der Erwar¬ 
tungswert für das Auftreten des Zeichens \i an der /i-ten Stelle beider Texte 
ist Pi -p\\ es ergibt sich der Erwartungswert für Kappa(T,T f ) 

(KappaiVT^QQ^Zhpi-p'i ■ 

Sind beide Quellen identisch, Q' = Q, so ist p\ — pi und 

(*) (Kappa(T,T')) Q = i:Lph 

Diese Gleichung setzt die Definition von Kappa in Beziehung zum klassischen 
Urnenexperiment der Wahrscheinlichkeitstheorie. 
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Satz: Für identische Quellen Q' = Q gilt 

i < (Kappa(T, T'))q < 1 , 

wobei die linke Grenze angenommen wird für den Fall der Gleichverteilung 
Qr • Pi — jj, und nur dafür; die rechte für jede deterministische Verteilung 
Qj : pj — 1 , Pi = 0 für i % j , und für keine andere Verteilung. 

Aus der in 15.5.3, Tabelle 8 postulierten Wahrscheinlichkeitsverteilung ergibt 
sich, wie schon gesagt 

(Kappa(T,T')) Deutsch = 0.07619 = K d , 

{Kappa{T,T')) Englisch = 0.06577 = n e . 

Für die Quelle mit Gleichverteilung Qr erhält man (N = 26) 

(■ Kappa(T , T'))r = n R = 0.03846 = ^ . 

Der Kappa- Test unterscheidet also deutsche und englische Quellen deutlich 
von einer gleichverteilten Quelle. Als Faustregel für die gängigen Sprachen 
mag gelten: 

Das Verhältnis (Kappa(T, T'))s/(Kappa(T, T'))r liegt nahe bei 2. 

Es ist 

ftd/^R = N • = 1.98 , Ke /kr = N • K e = 1.71 . 


16.2 Definition und Invarianz von Chi und Psi 

Vorgelegt seien wieder zwei Texte gleicher Länge M über dem selben Zei¬ 
chenvorrat von N Zeichen, T — (£i, £ 2 , ^ 3 , • • • £m) 5 T' — (t[, t' 2 , £ 3 ,... t' M ) . 

Die Häufigkeit des Vorkommens des Zeichens Xi i m Text T sei mit ra*, 
im Text T' mit m' bezeichnet. Es ist 

Als Chi wird bezeichnet die ‘ cross-product sum ’ (Solomon Kullback , 1935) 
Homogen geschrieben, lautet die Definition 

chi(T , r) = (EL ^ • K)/( (Eil 1 m) • (Eili O ) ■ 

Die beiden Texte von 16.1, Beispiel 1 haben folgende Häufigkeiten 

abcdef ghi j kl mnopqr s t uvwxyz 
T 10 04 11 35 425 15 02 10 6 14 710 15 79934106 
T' 11 3 6 6 33 2 7 7 12 1 1 2 2 16 2 2 0 15 18 16 10 1 2 0 0 5 

Damit ergibt sich Chi(T,T f ) = 1 gQ.^g Q = 7.69% . 
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Für die beiden Texte von 16.1, Beispiel 2 erhält man 

abcdef ghi j kl mnopqrst uvwxyz 

T 15 689 21 34 10 17 0082 14 12 618 11 14 522010 
T' 15 645 30 44980066 15 12 40 10 10 17 804030 

Damit ergibt sich Chi(T,T f ) = = 6.60% . 

16 . 2.1 Ähnlich wie in 16.1.1 gilt auch 

Chi(T,T f ) < 1 , wobei 

Chi(T,T f ) = 1 genau dann, wenn T und T' aus einem einzigen 
Zeichen aufgebaut sind. 

Dies folgt aus elementaren geometrischen Überlegungen. 

Sind alle mi gleich, mi = M/N , so ist (bei beliebigen m') 

Chi(T,T') = jj = kr- 

Empirisch findet man wieder, daß genügend lange Texte aus ein und der 
selben Sprache S (bzw. des selben Genres dieser Sprache) nicht nur ziemlich 
übereinstimmende (von Sprache zu Sprache sich ändernde) Werte von Chi 
haben, sondern daß diese Werte bei den entsprechenden Werten von Kappa 
liegen. Dies wird sich in 16.3. aufklären. 

16 . 2.2 Wichtig ist jetzt der Spezialfall T' = T, m! i — mi . Sei 

Psi(T) = Chi(T,T) = Etirf/M 2 - 

Es gilt der Steinersche Satz 

- v )2/M2 = E m ?/ M2 - jj ■ 

i=l i=1 

Somit gilt 

< Psi(T) < 1 , wobei 1 

Psi(T) = jj = ftR genau dann, wenn alle mi gleich sind, 

Psi(T ) = 1 genau dann, wenn T aus einem einzigen Zeichen 

aufgebaut ist. 

16 . 2.3 Auch Chi und Psi haben Invarianzeigenschaften. Nunmehr gilt 
jedoch gegenüber Kappa nur noch eine schwächere Aussage: 


1 Für den extremen Fall M < N gilt schärfer -T < Psi(T) , wobei 
Psi(T) = genau dann, wenn mi E {0,1}. 
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Invarianzsatz 7: Für alle monoalphabetischen , funktionalen mono¬ 
graphischen Substitutionen, insbesondere auch für alle linearen mono¬ 
alphabetischen monographischen Substitutionen gilt: 

Das Chi zweier (gleichlanger) Texte, die gleichartig chiffriert werden, 
wie auch das Psi eines Textes, bleiben erhalten. 

Invarianzsatz 8: Für alle Transpositionen gilt: 

Das Chi zweier (gleichlanger) Texte, die gleichartig chiffriert werden, 
wie auch das Psi eines Textes, bleiben erhalten. 

Soweit das Chi bzw. Psi also für eine in Frage kommende Sprache kenn¬ 
zeichnend ist, läßt sich die Sprache aus dem Chiffrat erkennen. 

16.2.4 Der Erwartungswert für das Chi zweier Sprachen (mit gleichem 
Alphabet) errechnet sich direkt aus den Wahrscheinlichkeiten Pi, p' des Auf¬ 
tretens der Zeichen in den ,stochastischen Quellen^ Q , Q f der Sprachen: Der 
Erwartungswert für die Anzahl der Zeichens Xi ist Pi * Af bzw. p- • M; es 
ergibt sich der Erwartungswert für Chi(T,T r ) 

N 

{Chi(T,T')) QQ ' = 'Pi ■ 

2=1 

Sind beide Quellen identisch, p- — Pi, so ist 

(*) (CM(TX))q = Y / pP 

i=1 


Insbesondere gilt 


N 

{Psi{T)) Q = ■ 

2=1 


Satz: Für identische Quellen Q f — Q gilt 

jf < (Chi(T,r)) Q < i, 

und speziell 

jf < {Psi(T)) Q < 1 , 

wobei die linke Grenze angenommen wird für den Fall der Gleichverteilung 
Qr : Pi ~ un d nur dafür; die rechte für jede deterministische 

Verteilung Qj : pj = 1, pi — 0 für alle i ^ j , und für keine andere 
Verteilung. 

Überrascht stellt man fest, daß die mit (*) gekennzeichneten Erwartungs¬ 
werte (Kappa(T,T f ))Q (vgl. 16.1.3) und ( Chi(T,T'))Q zusammenfallen. 
Es wird sich her ausstellen, daß sogar zwischen Kappa(T,T') und Chi(T,T f ) 
ein Zusammenhang besteht. 
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16.3 Das Kappa-Chi-Theorem 


Wir benötigen für das folgende zwei Hilfsfunktionen , g' i4l . 

q . _f 1 falls das ß- te Zeichen von T = Xi 
bei5 --\o sonst ; 

entsprechend sei g' M für T' definiert. Dann ist 

5(^.0 = EjLi ft,#*-sb und 


= El 


/ V^M / 

h = £„=i ft,«/ • 


16.3.1 Sei T^ der um r Plätze nach rechts zyklisch verschobene Text T . 
Dann ist die Anzahl Koinzidenzen zwischen T^ und T f 

Kappa(T^,T') = EjLi 5(*(/*-r-i) modM+i,^)/M . 

Speziell ist Kappa(T^\T r ) — Kappa{T,T') . 

16.3.2 Wir formulieren nun das Kappa - Chi -Theorem: 

M —1 

- £ Kappa(T^\T') = Chi(T,T') • 

p =0 

Chi{T,T') ist also das arithmetische Mittel aller Kappa(T^ r \T') . 


Korollar : 


]T Kappa{T^ p \T) = Psi(T) . 


Beweis: 

1 1 sr^M — 1 sr^M r/, #/ \ 

M ‘ M ' Z^p=0 2^=1 mod M +1? r /J — 

i . J_ . V M t' 'l = 

M M Z^=l Z^=l ‘vJ 


\ 1 sr-yM / _ 

M M 2—/zy=l Z-^i —1 9i,v 

\ \ N / _ 

M ’ M Z^i=l 2^zy=l 2^=1 9i,v ’ 9i,u — 

£ • £ • Ef=i (E" i sE) • (E^i ft* 
AirEf =1 = 

Chi(T, T') . 


Es zeigt sich jetzt, daß für die Beispiele 1 und 2 in 16.1 die Werte für Kappa 
mit 11.67% bzw. 7.78% gegenüber den Mittelwerten 7.69% bzw. 6.60% in 
16.2 (zufällig) sehr hoch ausgefallen sind. 
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16.4 Das Kappa-Phi-Theorem 

Der Fall T' = T bietet die Besonderheit, daß Kappa(T^°\T) = Kappa(T , T) 
= 1 nach (16.1.1). Dagegen ist für r % 0 mit einem bedeutend kleineren Wert 
von Kappa{T^ r \T) zu rechnen. Somit fällt bei der Mittelbildung der Fall 
r = 0 systematisch aus dem Rahmen, und es empfiehlt sich, eine Mittelbil¬ 
dung nur über die verbleibenden M — 1 Werte zu betrachten, nämlich 

1 M — l 

j- E Kappa(T {p) ,T ) . 

16.4.1 Nun ist P 

W=l-ZpCKappa(T( p \T) = 

W = T • (Ejlä 1 Kappa{U p \T) - 1) = ^ • (M • Psi(T) - 1) = 
m+ ■ (Ef=iK 2 /M - 1)) = 

w=l ■ Tt ■ (E*=i(+ -M)) = 
i+T + -(Eili -Wi)) = 

m^t ' m ' (E<=i m * ■ ( m * — i)) • 

Wir definieren also eine neue Größe 

N 

Phi(T) = - !))/( M ' ( M ~ !)) 

2=1 

und haben das Kappa -Phi -Theorem: 

1 M — l 

T ^ Kappa{n p \T)) = Phi(T) . 

P= 1 

Die Berechnung von Phi(T ) hat gegenüber der von Psi(T ) den kleinen Vor¬ 
teil, daß sowohl für den Fall rrii = 0 wie für den Fall nni — 1 kein Beitrag 
zur Summe anfällt, 2 was bei kurzen Texten für die seltenen Buchstaben vor¬ 
teilhaft ist. Die Literatur arbeitet jedoch nicht nur deshalb überwiegend mit 
Phi statt mit Psi , sondern auch weil der Phi-Test (neben dem C%z-Test) von 
Kullback zuerst auf der Basis entsprechender Überlegungen aus der Stocha¬ 
stik angegeben wurde. 

Beispiel 3: Für den Geheimtext T (M = 280) von 15.8.1 ergibt sich mit den 
dort angegebenen Einzelzeichenhäufigkeiten 

280 2 • Psi(T) = 289+16+169+0+49+289+ 529+676+25+144+9+4+4+ 
1296+625+1+25+0+0+529+400+9+36+81+169+64 - 5438 , 

280 • 279 • Phi(T) = 272+12+156+0+42+272+ 506+650+20+132+6+2+2+ 
1260+600+0+20+0+0+506+380+6+30+72+156+56 - 5158 , also 
Psi(T) = 5438/78400 = 6.936% ; Phi{T) = 5158/78120 - 6.603% . 
Übrigens ergibt sich für Paarhäufigkeiten, also für den Text T x 
Psi{TxTW) = 871/77841 = 1.119% ; Phi(TxTW) = 592/77562 = 0.763% . 


2 Es ist Phi(T) = 0 genau dann, wenn £ (0,1}. 
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16 . 4.2 Phi(T ) ist von Psi(T ) nicht sehr verschieden: Es ist 

Pst{T) = Phi(T ) + Phi(T) = jfc. Psi{T ) - und 

Psi{T) - Phi(T) = 1 ~ P m ( t) = l ~M S i ( P , also Phi{T) < Psi{T) . 

16 . 4.3 Phi hat die gleichen Invarianzeigenschaften wie Psi: 

Invarianzsatz 7 bls : Für alle monoalphabetischen , funktionalen mono¬ 
graphischen Substitutionen, insbesondere auch für alle linearen mono¬ 
alphabetischen monographischen Substitutionen gilt: 

Das Phi eines Textes bleibt erhalten. 

Invarianzsatz 8 bls : Für alle Transpositionen gilt: 

Das Phi eines Textes bleibt erhalten. 


16.4.4 Der Erwartungswert für das Phi eines Textes T der Länge M errech¬ 
net sich ebenfalls aus der Wahrscheinlichkeit Pi des Auftretens der Zeichen 
in der ,stochastischen Quelle‘ Q der Sprache: Er ergibt sich zu 


(Phi(T)) < Q I ' > = 
(.Phi(T ))^ M) > 


wz i • (Ejli Pi ■ (Pi - ii)) > wobei 

/n£r-(W) = £-M falls M > N 
\ 0 falls M < N 


Für größer und größer werdendes M nähert sich der Erwartungswert für 
Phi(T ) dem Erwartungswert für Psi(T ), nämlich 


{Phi{T))p ] = y:: = 1 p. 


n 


16.5 Symmetrische Funktionen der Zeichenhäufigkeiten 


Die Invarianz von Psi in Satz 7 und 8 gilt für alle symmetrischen Funktionen 
der Zeichenhäufi^keiten. Die einfachste nicht konstante polynomiale Funktion 
ist in der Tat JT_i mf . Eine interessante Klasse ist die folgende: 


f (Ef=i 


Psi a (T) = { 


falls 1 < a < oo 


ex P(12iLi • ln (jrii/M)) falls a = 1 
t ma x^L^rrii/M) falls a — oo 

Psi 2 ist Psi von oben. 


mit der Normierung = 1 

Es gilt für 1 < a < oo (vgl. 16.2.2) 

Psi a (T) — jjr genau dann, wenn alle gleich sind. 

Psii und Psi oc sind stetige Grenzfunktionen der Klasse; es ist auch 
Psh{T) = . 


Die Größe —ld Psi a (T) heißt Renyi-a-Entropie von T ( Renyi , I960) 3 ; man 
erhält 


3 Alfred Renyi (1921-1976), ungarischer Mathematiker. 
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Abb. 114. Verlauf der Renyi-a -Entropie für N — 2 


-ld Psi a (T) = { 


■ ld ( rtii/M )) 


f — max^ ld ( nii/M ) 


falls 1 < a < oo 
falls a— 1 
falls a — oo 


Die Renyi-l-Entropie —ld Psi\ ist die Shannon-Entropie ( Claude E. Shan¬ 
non , 1945) 4 . Die Renyi-2-Entropie — ldPsz 2 könnte man als Kullback- 
Entropie bezeichnen. Abb. 114 zeigt den Verlauf von — \dPsi a für N — 2 
und für einige Werte von a . 


Für den englischen Text T (M = 280) von 15.8.1 ergibt sich 


Psh(T) 

Psi 2 (T) 

Psioo(T) 


5.852% -ldPs^T) 
6.936% -ld Psi 2 (T) 
12.857% -ld Psi^T) 


= 4.095 

= 3.850 (vgl. 16.4.1) 
= 2.959 . 


Für Zeichenpaare sinken die vergleichbaren Entropie-Werte etwas ab, 

yPsh{T x TW) = 9.37% -|ldPsn(T x T^) = 3.42 

y/Psi 2 (T x Tl 1 )) = 10.58% -\ldPsi 2 {T x T^) = 3.24 (vgl. 16.4.1) 

yPsi^T x T(!))= 17.96% -|ldP« 00 (TxT( 1 ))=2.48 . 


4 Claude E. Shannon (* 1916), amerikanischer Mathematiker, Ingenieur und Informatiker. 
Shannon arbeitete 1936-1938 unter Vannevar Bush an der Analogrechner-Entwicklung, 
wobei er mit Relaisschaltungen zu tun bekam. Dabei entstand 1937 eine wichtige 
Publikation über den Zusammenhang zwischen Schaltalgebra und Boolescher Algebra: 
A Symbolic Analysis of Relay and Switching Circuits. Trans. AIEE 57, 713-723 (1938). 
Shannon ging 1941 in die Bell Laboratories, wo er mit mathematischen Fragen der 
Übermittlung geheimer und verrauschter Nachrichten befaßt wurde. Daraus entstand 
die Informationstheorie (A Mathematical Theory of Communication, Bell System Tech¬ 
nical Journal July 1948, p. 379, Oct. 1948, p. 623), publiziert 1949 zusammen mit Warren 
Weaver (* 1923): Mathematical Theory of Communication. Univ. of Illinois Press, Ur- 
bana 1949. Shannon wurde später Professor am MIT, Cambridge, Mass. 
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u It may be laid down as a principle that it is never worth 
the trouble of trying any inscrutable cypher unless its 
author has himself deciphered some very difhcult cypher. ” 

Charles Babbage 1854 

u The Babbage rule would have deprived cryptologists of some 
of the most important features of modern cryptography, such 
as the Vernam mechanism, the rotor, the Hagelin machine 

David Kahn 1967 

Periodische polyalphabetische Chiffrierung (2.3.6) enthält trotz einer Fülle 
möglicherweise unabhängiger Alphabete ein Element, das schwer zu ver¬ 
stecken ist: die Periode der Chiffrierung. Dies beruht auf dem folgenden 
trivialen Sachverhalt: Stammt ein Text P der Länge M aus einer stochasti¬ 
schen Quelle Q, so stammt der um s Plätze zyklisch verschobene Text P^ 
aus der selben Quelle. 

Sei pi die Wahrscheinlichkeit des Auftretens des i-ten Zeichens in Q. Es gilt 
Satz 1: Ist d die Periode einer periodischen polyalphabetischen funktionalen, 
einfachen und monopartiten Chiffrierung (der Einfachheit halber sei d\M 
angenommen), so stammen sowohl das Chiffrat C eines Textes P als auch 
C^ d \ das um k-d Plätze zyklisch verschobene Chiffrat C, aus der selben 
stochastischen Quelle Q ; es ist für alle k 

(Kappa(C^ d \C)) Q = f2pl • 

i =1 

Beweis: p( fc c 0 und P sind aus der selben Quelle und werden der selben 
polyalphabetischen Chiffrierung unterworfen. Das Chiffrat von p( fc d ) stimmt 
überein mit C (fc ' d) , dem um k-d Plätze zyklisch verschobenen Chiffrat C 
von P. Nach 16.1.3.(*) ist (Kappa(C^ k d \C))Q = (Kappa(P( k ' d \ P))q = 
Yfi =i Pi für beliebiges k. 

Hingegen kann man über (iüappa(C (M) , C))q^q , wo u kein Vielfaches von 
d ist, eine solche Aussage nicht machen. Denn und C stammen in der 
Regel aus voneinander unabhängigen stochastischen Quellen Q' und Q "; 

N 1 

{Kappa{C^\C)) Q ^ Q „ = ^ p[ - p" fluktuiert um — . 

i —1 

Dies ist zumindest so, wenn die einzelnen Alphabete eine genügend gründ¬ 
liche Durchmischung der Zeichenhäufigkeiten bewirken und genügend viele 
Alphabete ins Spiel gebracht werden. 
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G E I E I 
F Z E K E 
N U B A I 
L N R WE 
X N B X M 
A H U L M 
G N A MI 


A S G D X 
J L V D X 
V S MU K 
Q J N X X 
WA L P N 
K N U MY 
U K 

Abb. 


V Z I J Q 
WK WK E 
H S S P W 

V V O A E 
F D C F P 
E X D MW 


L MWL A 
T X L B R 
N V L WK 
G E U WB 
X H WZ K 
B X Z S B 


A MX Z Y 
A T Q H L 
A G H G N 
Z WM Q Y 
E X H S S 
C H V WZ 


Z ML WH 
B MX A A 
U MK WD 
MO ML W 
F X K I Y 
X P H WL 


115. Geheimtext von G. W.Kulp 


17.1 Friedmans Periodenbestimmung durch Kappa-Test 

17.1.1 Für den in Abb. 115 aufgeführten Geheimtext ergibt sich, Fried¬ 
man folgend, der in Abb. 116 aufgezeichnete Verlauf von Kappa(C^ u \C) in 
Abhängigkeit von u (für u = 0 ergibt sich der Wert 1, der außerhalb des 
Rahmens liegt). 


nL ■1' ■1' ■1' 


• • • 







K R 


Abb. 116. Kappa-Verlauf für den (englischen) Geheimtext von G. W. Kulp 

17.1.2 Der Geheimtext von Abb. 115 hat eine Geschichte. Er wurde von 
einem gewissen G. W. Kulp einer Wochenzeitung in Philadelphia, Alexan¬ 
der’s Weekly Messenger , eingesandt, in der Edgar Allan Poe eine Kolumne 
redigierte, und erschien am 26. Februar 1840 im Druck — mit Worttrennun¬ 
gen und Interpunktionszeichen (Abb. 118). Poe hatte monoalphabetisch chif¬ 
frierte Geheimtexte erbeten, und „bewies“ in einer anschließenden Nummer 
der Zeitschrift, daß das angebliche Chiffrat ein Schwindel war — “a Jar¬ 
gon of random characters having no meaning whatsoever” . Er hatte nicht 
so unrecht eine Häufigkeitszählung ergibt die in Abb. 117 verzeichneten, 
ziemlich gleichverteilten Werte. Eine Häufigkeitsbetrachtung konnte nicht 
zum Erfolg führen. 

12 7 2 5 10 4 6 9 6 3 10 12 14 9 2 4 4 2 7 2 7 7 16 15 4 8 

ABCDEFGHI JKLMNOPQRSTUVWXYZ 


Abb. 117. Häufigkeitsverteilung im Geheimtext von G. W.Kulp 
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Allerdings wären Worttrennungen und Interpunktionen eine große Hilfe für 
die Mustererkennungsmethode gewesen. Möglicherweise hat Poe sie auch 
versucht und Schiffbruch erlitten und darauf seine apodiktische Feststellung 
gegründet. 


"Ge Jeasgdxv, 

Zij gl mw, laam. xzy zmlwhfzek 
ejlvdxw kwke tx lbr atgh lbmx aanu 
bai Vsmukkss pwn vlwk agh gnumk 
wdlnzweg jnbxvv oaeg enwb zwmgy 
mo mlw wnbx mw al pnfdcfpkh wzkex 
hssf xkiyahul. Mk num yexdm wbxy 
sbc hv wyx Phwkgnamcuk?” 

Abb. 118. Faksimile des Geheimtextes von G. W. Kulp (1840). 

Der Setzer hat, wie man später herausgefunden hat, für etliche Druckfehler gesorgt, 
z.B. q als g gelesen und auch einen Buchstaben ganz unterschlagen. 


17.1.3 Die Häufigkeitsverteilung für den Geheimtext von Kulp ergibt einen 
Wert von 1 g|.^g 6 = 4.56% für Phi , bzw. von = 5.07% für Psi . Mono¬ 
alphabetische Substitution hätte für die zu vermutende englische Sprache 
bedeutend höhere Werte erbracht; Psi liegt näher bei kr = jj als bei n e . 
Kulp hatte demnach wohl die Bedingung, nur monoalphabetische einfache 
Substitutionen zu verwenden, nicht eingehalten. Für Poe wäre also auch 
eine monoalphabetische Bigrammsubstitution nicht in Frage gekommen; auch 
PLAYFAIR nicht, denn PLAYFAIR wurde erst 1854 erfunden. 

17.1.4 Abb. 116 zeigt, daß sich einige Kappa-Werte deutlich in der Nähe 
von befinden, die meisten aber über oder auch unter kr. Bei kleinen 
Werten von u sind die Kappa-Werte noch durch die Fernwirkung der Muster 
beeinflußt. Ist ein hoher Wert durch eine Periode begründet, so müssen 
auch für alle Vielfachen dieser Periode hohe Kappa-Werte auftreten. Damit 
scheiden die kleinen Zahlen wie 5 für die Periode aus, während 12 ein guter 
Kandidat ist. 15 kommt wohl nicht in Frage, da für 45 ein sehr niedriger 
Kappa-Wert kommt. Es ist also zunächst nur eine aussichtsreiche Hypothese, 
für den Geheimtext von Kulp monographische polyalphabetische Chiffrierung 
mit einer Periode Zwölf zu unterstellen. 

Der Geheimtext von Kulp ist mit 187 Zeichen recht kurz, so daß beträchtliche 
Schwankungen der Kappa-Werte zu erwarten sind; für längere Texte heben 
sich die Periodenvielfachen sehr viel besser ab. Dies zeigt ein Vergleich mit 
Abb. 119 für einen Text von 300 Zeichen und Abb. 120 für einen Text von 
3 000 Zeichen, bei dem die Periode ins Auge springt. 
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Abb. 119. Kappa-Verlauf für einen (deutschen) Text von 300 Zeichen 



Abb. 120. Kappa-Verlauf für einen (deutschen) Text von 3 000 Zeichen 


17.2 Kappa-Test für Multigramme 

Die Diskussion braucht jedoch nicht auf Einzelzeichen beschränkt zu wer¬ 
den. Bigramme und allgemeiner Multigramme können als Zeichen aufgefaßt 
werden, wobei allerdings der Umfang des Zeichenvorrats sehr ansteigt. 

Für Bigramme ist — 14.8%% , für Trigramme =0.569%% . 

Es kommt nur darauf an, wie sich ^g* von abhebt, und es zeigt sich, 
daß der runde Faktor 2 , der bei der Einzelzeichenbetrachtung auftrat, bei 
Bigrammen (Abb. 121) durch einen Faktor 4.5 bis 7.5 ersetzt wird: Für das 
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Englische liegt «** nach Kuliback bei 69%% , für das Deutsche hegt /^* nach 
Kullback und Bauer bei 112%% . Die Niveaus sind also deutlicher getrennt. 
Andererseits wird schon beim Übergang zu Trigrammen (Faktor 40 !) die 
Schwankung auch bei 3 000 Zeichen recht beträchtlich (Abb. 122). Es ist also 
dafür gesorgt, daß die Bäume nicht in den Himmel wachsen. 



Abb. 122. Koinzidenzen für Trigramme (deutscher Text von 3 000 Zeichen) 
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17.3 Maschinelle Kryptanalyse 

17.3.1 Daß in den U.S.A. während des 2. Weltkrieges die Methoden von 
Friedman und Kullback maschinell durchgeführt wurden, konnte man ge¬ 
trost annehmen. Schon 1932 hatte Thomas H. Dyer von der U.S.Navy 
Lochkartengeräte von I.B.M. zur Beschleunigung der Arbeit eingesetzt, die 
U.S.Army folgte 1936. 1941, im Jahr von Pearl Harbor, arbeiteten beim 
SIS (Signal Intelligence Service der U.S.Army) 13, 1945 407 Lochkarten- 
(Tabellier-)maschinen. I.B.M. erhielt dafür 750000$ Miete im Jahr. 

In Deutschland wurden ebenfalls Tabelliermaschinen verwendet. Sie waren, 
wie auch anderswo, besonders nützlich (s. auch 18.6.3) beim ,Abstreifen 4 der 
Überchiffrierung von Codes (9.2). Aber sie halfen auch bei der Perioden¬ 
analyse durch Kappa-Test. Zu diesem Zweck benutzten sie (nach Kahn und 
Takagi ) auch die Japaner. 

Vorläufer solcher maschineller Bearbeitung mittels Lochkartengeräten waren 
die Lochblätter aus Papier ( overlay sheets, perforated sheets ), die in England 
und anderswo verwendet wurden. Auf ihnen wurde der Geheimtext in einem 
binären l-aus-26-Code durch Lochung festgehalten. Während es bei einer 
einmaligen Koinzidenzuntersuchung zweier Texte durchaus genügt, die bei¬ 
den Texte wie in 16.1 untereinander zu schreiben, ist zur Periodenanalyse eine 
wiederholte Koinzidenzuntersuchung für versetzte Texte erforderlich. Dabei 
lohnt sich der Aufwand zur Herstellung der Lochblätter, denn Koinziden¬ 
zen verraten sich „auf einen Blick“ dadurch, daß man durch die Löcher die 
Farbe des Tisches sieht. Diese Feststellung ist also nicht nur sicherer, sondern 
auch schneller. Abb. 123a zeigt ein Exemplar solcher Lochblätter, wie sie in 
Bletchley Park verwendet wurden; sie hießen dort “Banbury sheets” , weil die 
Lochung in Banbury, einer nahegelegenen Kleinstadt erfolgte. Einzelzeichen- 
und auch Multigramm-Koinzidenzen sind so erkennbar (Abb. 123b). 

Die Herstellung der einfachen Lochblätter kann, wie in Banbury, von Hand 
erfolgen. Selbstverständlich kann auch Papier gespart werden durch Ver¬ 
wendung geeigneter anderer Codierung, etwa in einem binären 2-aus-5-Code 
zur Behandlung von dezimalen Zifferncodes, oder in einem binären 2-aus-10- 
Code, der ausreichte, Alphabetzeichen und Dezimalziffern nebeneinander zu 
verarbeiten ( Willi Jensen im OKW). Diese Codierungen, insbesondere auch 
die Fernschreibcodierung, erfordern jedoch kompliziertere Mechanismen zur 
Koinzidenzprüfung. 

17.3.2 In der Chiffrierabteilung des OKW, im Jargon Chi genannt, wurde in 
der Gruppe IV „Analytische Kryptanalyse“, die Erich Hüttenhain leitete, von 
Willi Jensen ein Spezialgerät zur Feststellung von Koinzidenzen (,Doppler 4 ) 
und ihrer Abstände entwickelt. Das ,Perioden- und Phasensuchgerät 4 arbei¬ 
tete mit zwei identischen 5-Kanal-Fernschreiber-Lochstreifen, die zur Schleife 
geklebt waren, wobei in der einen Schleife eine zusätzliche Leerlochung war. 
Bei jedem Umlauf durch zwei Abtaster verschoben sich so die Phasenlagen 
der Streifen gegeneinander um eine Stelle (,Sägebock-Prinzip 4 ). Die photo- 
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Abb. 123a. Lochblatt (overlay sheet ) mit Ausschnitt aus dem Geheimtext von G. W. Kulp 
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Abb. 123b. Überlagerung zweier Lochblätter mit um 72 Zeichen versetzten 
Ausschnitten aus dem Geheimtext von G. W. Kulp : 

NUBA I V SMUKHSSPWNVLWKAG H GNUMKWD L N R WEQ JNXXV V OAEG E U 
CFPXHWZKEXHSSF XK I Y A HULMKNUMY E XD MW B X Z SB CH VW Z XPH W L 

elektrischen Abtaster arbeiteten auf einem ,Zeichenvergleichslabyrinth 6 aus 
Relais, das auf Zeichengleichheit prüfte und im bejahenden Fall eines Dopp¬ 
lers auf einem Schreibwerk einen Strich machte. Traten für eine gegebene 
Phasenlage mehrere Doppler auf, so wurden ebensoviele Striche aneinander¬ 
gehängt. Nach einem vollständigen Umlauf rückte das Schreibwerk um eine 
Stelle vor. Ein zweites Schreibwerk zählte die Anzahl zweier unmittelbar 
aufeinanderfolgender Doppler, die Doppel-Bigramme, ein drittes die Anzahl 
dreier solcher, die Doppel-Trigramme usw. bis hinauf zu Parallelstellen der 
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Do 


h ißramme. I 


Anla ge 45 


Periode p=YO 


I m'oden-u.Phasensuchgerai: 
Muster einer Registrierung 


Abb. 124. Registrierung mittels des Perioden- und Phasensuchgeräts 
Aus: Willi Jensen, Hilfsgeräte der Kryptographie. Dissertationsentwurf 1953 


Länge 10 (Abb. 124). Das Gerät gab automatisch eine vollständige Friedman- 
Untersuchung. Bei einer Abtastgeschwindigkeit von 50 Zeichen pro Sekunde 
geschah dies für einen Text von 600 Zeichen in 2 Stunden, hundertmal schnei- 
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ler als von Hand. Das Gerät wurde bei Kriegsende zerstört. Die verfügbaren 
Unterlagen über Chi enthalten keinen Hinweis auf Friedman , doch darf an¬ 
genommen werden, daß zumindest dessen frühe, noch veröffentlichte Arbei¬ 
ten Hüttenhain bekannt waren. Sein Hauptwerk von 1938-1941 1 war nicht 
öffentlich zugänglich. 

17.3.3 In Großbritannien wurde zur Mechanisierung des manuellen Arbei- 
tens mit Lochblättern das Gerät HEATH ROBINSON 2 gebaut. Die von 
C. E. Wynn-Williams entworfene Maschine (erstes Exemplar fertig Mai 1943) 
hatte Vergleicher- und Zählschaltungen und konnte photoelektrisch zwei 
Fernschreiber-Lochstreifen mit bis zu 2 000 Zeichen pro Sekunde ablesen. 
Nach Donald Michie war die Arbeitsweise des HEATH ROBINSON ver¬ 
gleichbar dem ,Sägebock-Prinzip 6 , es wäre also gut zur Koinzidenzanalyse 
und Parallelstellensuche (wie auch zum Aufstellen von Differenzentabellen, 
s. 19.3) zu gebrauchen gewesen. Tatsächlich diente es, sobald W.M. Tutte die 
innere Struktur des Chiffrier-Fernschreibers SZ42 aufgeklärt hatte (19.2.6), 
hauptsächlich zur fortwährend verschobenen Z 2 -Addition eines Schlüssel¬ 
streifens zum Geheimtext, die zur Bestimmung der richtigen Phasenlage 
diente. 

SUPER ROBINSON konnte mit vier Lochstreifen arbeiten, man nannte die 
Maschine auch DRAGON (von ‘dragging text through’). Während man in 
Bletchley Park elektronisch arbeitete, war die U.S. DRAGON mit Relais 
aufgebaut. 

Weitere Verbesserungen nahmen die Briten dann bei den COLOSSUS ge¬ 
nannten Auswertungsmaschinen vor, die jedoch wesentlich komplexere, spe¬ 
ziell auf Chiffrier-Fernschreiber (vgl. 9.1.3, 9.1.4) gerichtete Operationen elek¬ 
tronisch durchführen ließen. Mehr darüber in 18.6.3 und 19.2.6. 

Im COLOSSUS (erstes Exemplar fertig Dezember 1943, im Einsatz Februar 
1944) war nur noch ein Lochstreifen - mit 5 000 Zeichen pro Sekunde — 
photoelektrisch abzulesen; die Rolle des zweiten, kürzeren und ständig zy¬ 
klisch umlaufenden wurde nach Good von internen Röhrenschaltungen (mit 
etwa 1500 Röhren) übernommen. Es ist aber nicht klar, ob das Gerät in 
Bletchley Park auch zur Periodenanalyse, zum Ausrichten der Phase, zum 
Abstreifen einer Uberchiffrierung oder auch anderswie eingesetzt wurde. 

17.3.4 Uber amerikanische Spezialgeräte zur Periodenanalyse durch Kappa- 
Test (‘IC’) ist neuerdings durch das Buch von C. Burke mehr bekannt. Schon 


1 William F. Friedman, Military Cryptanalysis, War Department, Office of the Chief Si¬ 
gnal Officer. Washington, D.C.: U.S. Government Printing Office. Vol. I: Monoalpha¬ 
betic Substitution Systems 1938, 1942 3 * * . Vol. II: Simpler Varieties of Polyalphabetic 
Substitution Systems 1938, 1943 3 . Vol. III: Simpler Varieties of Aperiodic Substitution 
Systems 1938, 1939 2 . Vol. IV: Transposition and Fractionating Systems 1941. Eine 
Kopie befindet sich in der University of Pennsylvania Library, Philadelphia, PA. 

2 W. Heath Robinson war ein britischer Karikaturist, der prachtvolle unpraktische Maschi¬ 

nen für alle möglichen und unmöglichen Aufgaben zeichnete. Nachbauten wurden u.a. 

PETER ROBINSON und ROBINSON AND CLEAVER (Namen Londoner Kaufhäuser) 

genannt. 
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1937 begann Vannevar Bush (1890-1974), der durch Analogrechner für die 
Lösung von Differentialgleichungen (‘Differential Analyser’) bekannt gewor¬ 
den war, für OP-20-G, den Entzifferungsdienst der U.S. Navy, nach Spezi¬ 
fikationen seines Leiters Joseph Wenger ein Gerät zur Koinzidenzzählung 
zu bauen, das er COMPARATOR nannte. Es arbeitete ebenfalls in einem 
l-aus-26-Code. Statt jedoch wie die Briten zunächst auf bewährte Tech¬ 
nologien zurückzugreifen, hatte Bush hochfliegende Pläne: photoelektrische 
Abtastung, elektronische Zähler (im l-aus-10-Code). 1937 war es ein Wagnis, 
ein Gerät mit über hundert Vakuumröhren zum Funktionieren zu bringen. 
Das Projekt scheiterte auch aus bürokratischen Gründen mehrmals; daß es 
fortgesetzt wurde, ist vielleicht mit der Rolle, die Bush als Direktor des Na¬ 
tional Defense Research Committee (später Office of Scientific Research and 
Development ) während des Krieges spielte, zu erklären. Das brachte Admiral 
Stanford Caldwell Hooper , Chef der Naval Communications , der ein Ver¬ 
fechter der ohne intuitive Eingriffe ablaufenden pure cryptanalysis war, und 
seinen Gehilfen Joseph Wenger nicht nur um ihren unmittelbaren Erfolg, 
OP-20-GY fiel im Einsatz von Maschinen zurück. Spätestens 1941 waren die 
U.S.A. in ihren kryptanalytischen Fähigkeiten zum Einbruch in maschinen¬ 
chiffrierte Verbindungen von Großbritannien überholt worden. 

Pure cryptanalysis hatte jedoch unter den mathematisch eingestellten Kryp- 
tologen Anhänger. Eine kleine Gruppe, die sich die Hilfe der erfahrenen 
Agnes Meyer Driscoll zunutze machte, ging unter Howard T. Engstrom gegen 
die ENIGMA mit Methoden der pure cryptanalysis , wie sie sich gegen japa¬ 
nische Rotormaschinen bewährt hatten, vor; für sie wurde 1942-1943 HYPO 
(‘Hypothetical Machine’) gebaut. Speziell gegen die japanischen Rotorma- 
schinen gerichtet waren dann die Relaismaschinen VIPER und PYTHON 
(entwickelt um 1943) und Abkömmlinge wie der elektronische RATTLER. 

17.3.5 Der von Kuliback 1935 vorgeschlagene Chi-Test wurde, weil er über 
reines Zählen hinaus Additionen und Multiplikationen erforderte, zunächst 
(1937) nicht in Betracht gezogen; er wurde 1940 aufgegriffen und kam ab 1944 
in den RAM-Maschinen (“Rapid Analytical Machines”) zum Zuge. Auch 
die COLOSSUS-Maschinen konnten prinzipiell eine Kullback-Untersuchung 
durchführen, aber ob und in welchem Ausmaß das geschah, ist nicht klar. 

Sobald die elektronischen Universalrechner (erste Ansätze waren DEMON, 
OMALLEY, HECATE, WARLOCK gegen Ende der vierziger Jahre) ausge¬ 
reift waren, wurden sie krypt analytisch eingesetzt; der Weg führte zunächst 
zu GOLDBERG 3 , einem verbesserten COMPARATOR, und dann zu den 
Computern ATLAS I und ATLAS II (= ERA 1101, 1103). Zu Beginn der 
fünfziger Jahre verlagerte sich die krypt analytische Massenarbeit in die Pro¬ 
grammierung von Universalrechnern mit schneller Sonderarithmetik. Am 
Ende dieser Entwicklung steht vorläufig die Architektur der ab 1976 ent¬ 
wickelten CRAY-Supercomputer (Farbtafel Q). 


3 


nach Rübe Goldberg, amerikanisches Gegenstück zu Heath Robinson. 
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17.4 Parallelstellensuche nach Kasiski 

Als Grenzfall des Kappa-Tests für Multigramme bestimmt man alle echten 
Multigramme, die sich wiederholen, und die Abstände, in denen sie sich 
wiederholen. Diese ,Parallelstellensuche‘ publizierte 1863 wohl als erster 
F. W. Kasiski ; vor Friedman und Kullback war sie das bevorzugte systemati¬ 
sche Angriffsmittel professioneller Entzifferer und machte dem bis dahin weit¬ 
verbreiteten Glauben an die Unbrechbarkeit polyalphabetischer Chiffrierung 
(8.4.1) zumindest im periodischen Fall den Garaus. 

17.4.1 Doch beginnen die unsystematischen Angriffe auf polyalphabetische 
Chiffrierungen, kaum nachdem diese erfunden sind. Schon Porta hatte gele¬ 
gentlich Glück mit Probieren — OMNIA VINCIT AMOR war der (zu) kurze 
und keineswegs ausgefallene Schlüssel, den ein Stümper benutzte; es kostete 
Porta weniger als eine Stunde, ihn zu erraten und die Chiffrierung zu bre¬ 
chen. Er selbst benutzte nur lange Schlüssel und riet, belanglose Wörter 
zu verwenden, die fernab vom täglichen Gebrauch liegen. Und Giovanni 
Batista Argenti , dem sein damaliger Dienstherr, Iacomo Boncampagni , Her¬ 
zog von Sora Neffe von Papst Gregor XIII — das Kryptogramm 
QAETEPEEEACSZMDDFICTZADQGBPLEAQTAIUI 

gab, um seine Kunstfertigkeit zu testen, löste es, wie er schrieb, am 8. Okto¬ 
ber 1581 in kurzer Zeit; den Schlüssel INPRINCIPIOERATVERBUM er¬ 
ratend und die Tatsache, daß der Herzog 10 involutorische Alphabete benutzt 
hatte von der Art, die Porta 1563 beschrieben hatte (7.4.4, Abb. 53) — wa¬ 
rum hätte der Herzog sich auch etwas Neues einfallen lassen sollen? Der 
Klartext war der Beginn der TEneis des Vergib arma virumque cano .... 

Porta hatte jedoch auch schon eine methodische Idee: Wenn in der Frühform 
polyalphabetischer Chiffrierungen das Alphabet mit jedem Schritt (im Ge¬ 
gensatz zur tabula recta , vgl. 8.1.2) um einen Platz nach rechts verschoben 
wurde, brachten häufig vorkommende Bigramme wie /ab/, /hi/, /op/ oder 
gar Trigramme wie /def/ (in deficio ) oder /stu/ (in Studium ) Buchstaben¬ 
wiederholungen zustande. Porta fand einmal MMM und im Abstand von 51 
Plätzen nochmals MMM und schloß daraus, daß der Schlüssel die Periode 
17 habe und dreimal wiederholt worden sei — die Periode 51 wäre damals zu 
lange, die Periode 3 für einen gewitzten Chiffrierer zu kurz gewesen. 

Um Haaresbreite hätte bereits Porta Kasiskis Methode gefunden, hätte er 
begriffen, daß es gar nicht auf das Wiederholungsmuster 111 ankam, son¬ 
dern nur auf die Wiederholung irgend eines Geheimtextfragments, auf das 
Vorkommen einer ,Parallelstelle/ hervorgerufen durch ein Zusammentreffen 
eines häufig auftretenden Klartextfragments mit ein und dem selben Stück 
eines Schlüssels, was nur im Abstand eines Vielfachen der Periode möglich 
ist. Hätte Porta das bemerkt und publiziert, wären polyalphabetische Chif¬ 
frierungen nicht noch zu Zeiten von Edgar Allen Poe unangreifbar gewesen. 

Nachfolgendes Beispiel von Kahn mag dies erläutern: Angenommen, ein 
VIGENERE-Verfahren in Z 26 arbeitet mit einem kurzen Schlüssel RUN: 
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t obe or not t obe t hat i sthequesti on 
R UNR UNR UNR UNR UNR UNR UNR UNR UNR UN 
K I O V I E E I G K I O V N URNVJ NUVKHVMGZI A 

Hier trifft das Schlüsselfragment RUNR im Abstand 9 das gleiche Klar¬ 
textfragment /tobe/ und ergibt die Parallelstelle KIOV, überdies trifft das 
Schlüsselfragment UN im Abstand 6 das gleiche Klartextfragment /th/ und 
ergibt die Parallelstelle NU . Die Abstände 9 und 6 müssen Vielfache der 
Periode sein, die damit nur den Wert 3 (oder 1) haben kann. 

Ein ähnliches Beispiel mit einem Schlüssel COMET der Länge 5 lautet: 
thereisanotherfa mo uspi anopl ay 
COMETCOMETCOMETCOMETCOMETCOME 
V V Q V X K G MR H V V Q V Y C A A Y L R WMR H R Z MC 

In diesem Beispiel sind die Abstände der Parallelstellen 10 und 15, die Periode 
kann damit nur den Wert 5 (oder 1) haben. 

17.4.2 Zehn Jahre vor Kasiski ahnte vielleicht Babbage schon etwas. Er, der 
gerne die chiffrierten Botschaften in den L agony columns 7 der viktorianischen 
Londoner Gazetten las, machte sich auch über Polyalphabetisches mit Wort¬ 
zwischenraum her, unter reichlicher Benutzung wahrscheinlicher Wörter. Bei 
solchen Lösungsversuchen entwickelte er, wie man aus seinen Aufzeichnungen 
ersehen kann, sicher großes Verständnis für die Periodizität, aber selbst wenn 
er die Parallelstellensuche benutzt haben sollte — publiziert hat er sie nicht. 4 
So fiel das Verdienst, einen systematischen Angriff auf polyalphabetische 
Chiffrierungen gefunden und verbreitet und damit die moderne Kryptolo¬ 
gie eröffnet zu haben, einem pensionierten preußischen Infanteriemajor zu, 
der jedoch zu seiner Zeit dafür noch nicht berühmt wurde und sich enttäuscht 
der Naturgeschichte zuwandte. 

Friedrich W. Kasiski wurde am 29. November 1805 in Schlochau, Westpreußen 
geboren. Er trat 1822 ins ostpreußische 33. Füsilier-Regiment Graf Roon ein. 
Dort diente er bis 1852 und wurde verabschiedet mit dem Rang eines Majors. 
1863 erschien bei Mittler & Sohn in Berlin, einem renommierten Verlag, sein 
Büchlein, 95 Seiten stark: „Die Geheimschriften und die Dechiffrirkunst“. 
Sein Werk führte zu einer Revolution in der Kryptologie, aber die setzte erst 
nach Kasiskis Tod am 22. Mai 1881 ein. Kerckhoffs würdigt Kasiski in einer 
wichtigen Arbeit von 1883, die Bücher von de Viaris 1893 und Delastelle 1902 
bauen darauf auf. Um die Jahrhundertwende ist die Revolution vollzogen, 
ist die Angreifbarkeit periodischer polyalphabetischer Chiffrierungen unter 
Fachleuten allgemein bekannt. 

4 Babbage ist zwar ein Vorläufer von de Viaris in der Beschreibung von linearen Chiffrie¬ 
rungen durch mathematische Gleichungen (vgl. 7.4.1, Fußnote 4) und insofern Kasiski 
weit voraus; aber ihn als Erfinder der Parallelstellensuche zu bezeichnen, wie es Oie 
Immanuel Franksen 1984 getan hat und Beutelspacher (2. Aufl., 1991) es ungeprüft über¬ 
nommen hat, ist nicht gerechtfertigt. Wenn Babbage 1846 polyalphabetische Chiffren 
gebrochen hat, dann lineare durch Schlüsselrekonstruktion mit Hilfe eines wahrscheinli¬ 
chen Worts‘ (vgl. 14.4.1), unter Heranziehung der bei Amateuren beliebten Wortfuge. 
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Im Licht von W. F. Friedmans Entdeckung von 1925 des Index of coin- 
cidence erscheint die Kasiskische Parallelstellenanalyse als ein rohes Ver¬ 
fahren. Bigramm-Parallellen werden, weil sie häufig sind, meist gar nicht 
beachtet, und Einzelzeichen-Parallelen ohnehin nicht — hingegen mißt das 
Kappa alle Parallelen und fragt nur, ob es überdurchschnittlich viele sind. 
Daß man Bigramm-Parallelen i.a. nicht beachtet, rührt davon her, daß sie 
auch „zufällig“ zustande kommen können. Selbst bei Trigrammen passiert 
das noch häufig, es kann aber auch bei höheren Multigrammen Vorkommen 
und stört die Analyse — beim Index of coincidence kümmert das gar nicht. 
Die Kasiskische Methode nimmt jedoch als Periode den größten gemeinsamen 
Teiler der Parallelen-Abstände unter pragmatischer Ausschließung einiger als 
störend angesehenen „zufälligen“ Parallelen. In dieser Hinsicht ist sie sehr in¬ 
tuitiv und nicht mechanisierbar. Überdies erfordert die Kasiski-Untersuchung 
auch etwas längere Texte, um überhaupt fündig zu werden. 

„Zufällige“ Parallelen treten gerade bei linearen Substitutionen häufiger auf. 
Grund dafür ist das Kommutativgesetz, das für die Summenbildung modulo 
N gilt: /anton/ mit dem Schlüssel BERTA liefert das gleiche wie /berta/ 
mit dem Schlüssel ANTON. Dieser Effekt tritt also besonders auf, wenn 
der Schlüsseltext aus dem selben Genre ist wie der Klartext. Auch Paral¬ 
lelstellen im Schlüsseltext können zu „falschen“ Geheimtext-Parallelstellen 
führen - Schlüssel wie DANSEUSECANCAN , VIERUNDVIERZIG kön¬ 
nen den unbefugten Entzifferer zum Narren halten. 5 

17.4.3 Die Schulbeispiele für Kasiskis Methode in der Literatur sind fast 
immer aufgemacht und zeigen mehr Parallelstellen, als man im Mittel er¬ 
warten darf. Von folgendem Beispiel (Kahn) kann man das nicht sagen. Der 
Klartext ist, wie sich später zeigen wird, ein beherzigenswerter Ratschlag von 
Albert J. Myer, U.S. Signal Corps (1866). Der Geheimtext lautet 


AN YVG 

Y S T Y N 

R P L WH 

RDTKX 

RN Y P V 

Q T G HP 

H Z K F E 

YUMU S 

A YWVK 

Z Y E Z M 

E Z U D L 

J KTU L 

J L KQB 

J UQ VU 

E C K B N 

R C T H P 

K E S XM 

A Z 0 E N 

S X G 0 L 

P GN L E 

E B MM T 

G C S S V 

MR S E Z 

MX H L P 

K J E J H 

T U P Z U 

E DWK N 

N N RWA 

G E E X S 

L K Z UD 

L J K F I 

XHTKP 

I A Z MX 

F A C WC 

T Q I D U 

WB RR L 

TTK VN 

A J WVB 

R E AWT 

N S E Z M 

0 E C S S 

VMR S L 

J ML E E 

B MM T G 

A Y V I Y 

G H P EM 

Y F A RW 

A 0 A E L 

U P I U A 

Y YMG E 

EM J QK 

S F CGU 

G YB P J 

B P Z Y P 

J A S NN 

F S T U S 

S T Y VG 

Y S 




5 Auf diese Symmetrie werden wir in 18.5 noch zu sprechen kommen. 
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Die Häufigkeitsverteilung zeigt Abb. 125; sie ist viel zu gleichmäßig, um die 
einer monoalphabetischen Substitution oder einer Transposition zu sein. Also 
ist an eine polyalphabetische Substitution zu denken. Darauf deutet auch das 
reichliche Vorkommen von Parallelstellen hin. Es finden sich neun Parallel¬ 
stellen der Länge 3 und mehr, darunter sehr lange wie LEEBMMTG und 
CSSVMRS. Ihre Abstände sind in Abb. 126 aufgelistet. 

14 8 7 5 22 6 12 8 5 11 14 13 16 13 4 13 5 11 18 15 14 10 9 7 16 11 

ABCDEFGHI JKLMNOPQRSTUVWXYZ 

Abb. 125. Häufigkeitsverteilung im Geheimtext von Kahn 
Fragment Abstand Primfaktor Zerlegung 


YVGYS 

280 

2 3 • 5 • 7 

STY 

274 

2-137 

GHP 

198 

2-3 2 • 11 

ZUDLJK 

96 

2 5 -3 

LEEBMMTG 

114 

2-3-19 

CSSVMRS 

96 

2 5 -3 

SEZM 

84 

2 2 • 3 • 7 

ZMX 

48 

2 4 • 3 

GEE 

108 

2 2 • 3 3 


Abb. 126. Faktorzerlegung von Parallelstellen-Abständen 

Folgt man Kasiski wörtlich, so muß man „die Abstände in Faktoren zerlegen, 
der am häufigsten gefundene Faktor gibt die Periode an“. Die Literatur 
deutet das, M. E. Ohaver folgend, gelegentlich dahingehend, daß alle Fak¬ 
toren aufzuschreiben sind (Abb. 127). Dabei könnte es Vorkommen, daß es 
zwei häufigste Faktoren gibt und man eine willkürliche Entscheidung tref¬ 
fen muß. Die richtige Regel lautet, daß man den größten gemeinsamen Teiler 
der Abstände aller „echten“ Parallelen nehmen muß — aber welche echt sind, 
weiß man noch nicht. Gerne ließe man „störende“ Parallelstellen weg, also 
solche, deren Abstand einen sonst vorherrschenden Faktor nicht enthält — in 
Abb. 126 wären das STY sowie YVGYS, wobei man nicht geneigt ist, von letzte¬ 
rem wegen seiner Länge 5 anzunehmen, daß es zufällig entstanden ist. Läßt 
man es jedoch nicht weg, so wäre 2 die Periode, was auch kaum zutreffen 
kann. Die Periode 12 hätte man, wenn man auch noch annehmen würde, daß 
GHP sowie LEEBMMTG zufällig entstanden wären. Bei ersterem kann man 
sich das vorstellen, bei letzterem kaum. Also muß man mit der Vermutung, 
daß 6 die Periode ist, leben. 

Zweifellos zeigt dies eine schwache Seite der Kasiski-Untersuchung. Um so 
wichtiger ist, daß die Friedman-Untersuchung und die noch zu besprechende 
Kullback-Untersuchung zuverlässiger sind. Ein durch eine zufällige Parallel¬ 
stelle hervorgerufener zu kleiner Wert für die angebliche Periode stört die 
gesamte Methode. Andererseits kann es Vorkommen, daß der größte gemein¬ 
same Teiler aller Parallelstellenabstände ein Vielfaches der Periode ist. In 
diesem Fall tritt nur eine unnötige Vermehrung des Arbeitsaufwands ein und 
eine Erschwerung der darauf folgenden Aufstellung der einzelnen Alphabete. 
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Fragment Abstand 2 3 4 5 6 7 8 9 10 11 12 14 16 18 19 20 21 22 24 


YVGYS 

280 

V 


V 

y/ V 

V V 


V 

V 

(unecht?) 

STY 

274 

V 








(unecht?) 

GHP 

198 

V 

V 


V 

V 

V 

V 


V 

ZUDLJK 

96 

V 

V 

V 

V 

V 

V 

V 


V 

LEEBMMTG 

114 

V 

V 


V 




V 


CSSVMRS 

96 

V 

V 

V 

V 

V 

V 

V 


V 

SEZM 

84 

V 

V 

V 

V V 


V 

V 

V 


ZMX 

48 

V 

V 

V 

V 

V 

V 




GEE 

108 

V 

V 

V 

V 

V 

V 

V 




Abb. 127. 

Faktoren der Parallelstellen-Abstände 



Der späteren Entzifferung (18.1) vorgreifend, merken wir schon an, daß sich 
STY und YVGYS als unechte Parallelstellen heraussteilen werden, und zwar 
kommen sie aufgrund der Kommutativität einer linearen Substitution über 
Z 26 zustande: Der Schlüssel ist SIGNAL , und YVGYS entsteht das erste 
Mal aus /signa/+ GNALS, das zweite Mal aus /gnals/+SIGIVA; STY entsteht 
das erste Mal aus /als/+SJG, das zweite Mal aus /sig/+ALS. Man erkennt, 
daß dieser Effekt durch die Verwendung des Schlüsselworts SIGNAL aus dem 
Genre des Klartextes hervorgerufen wurde. Er bringt für den unbefugten Ent¬ 
zifferer eine Erschwerung und ist deshalb für den Kryptographen erwünscht. 
Er tritt im übrigen auch bei den Kappa- und Chi-Tests verfälschend in Er¬ 
scheinung. 

Zufällige Parallelstellen können aber auch anders zustande kommen. Der 
große französische Kryptologe Etienne Bazeries hatte einmal Pech mit einer 
BEAUFORT-Chiffrierung: In einer Depesche von 1898 des aufrührerischen 
Herzogs von Orleans ( Bazeries ’ I in der fünften Gruppe müßte ein J sein) 

GNJLN RBEOR PFCLS OKYNX TNDBI LJNZE OIGSS HBFZN ETNDB JJMZQ. 

fand er eine Parallelstelle TNDB der Länge 4 im Abstand 21. Eine kürzere 
Parallelstelle EO der Länge 2 trat im Abstand 22 auf — sie stellte sich schließ¬ 
lich als echt heraus. Bazeries aber hatte natürlich zu der längeren Parallel¬ 
stelle größeres Vertrauen. Die weitere Untersuchung mit der angeblichen 
Periode 21 führte ihn zunächst in die Irre und hielt ihn lange auf. Die 
Parallelstelle TNDB war zufällig entstanden durch ERVE —/lesd/ bzw. 
durch IERV —/prou/ (Schlüssel: VENDREDIDIXSEPTFEVRIER). 
Bazeries bemerkte bitter: En cryptogmphie, aucune regle n’est absolut 

17.4.4 Die Kasiski-Untersuchung wurde trotz ihrer offensichtlichen Schwä¬ 
chen auch im 2. Weltkrieg noch häufig angewendet. In der Chiffrierabteilung 
des OKW (im Jargon Chi ) wurde (neben dem ,Perioden- und Phasensuch¬ 
gerät 4 , 17.3.2) ein spezielles Parallelstellensuchgerät entwickelt (Willi Jensen) 
und praktisch eingesetzt. Der Geheimtext wurde auf Filmstreifen gestanzt in 
doppelter Ausfertigung in einem 2-aus-10-Code, der auch eine Mischung von 
Buchstaben (Z 2 q) und Ziffern (Zio) zu verarbeiten gestattete. Eine Kopie (A) 
wurde zum Ring geklebt und lief dauernd an einem Abtaster vorbei, während 
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der zweite Filmstreifen (B) bei jedem Umlauf des ersten um ein Zeichen in 
seinem Abtaster vorrückte. Bei Übereinstimmung zweier Zeichen decken sich 
zwei Löcher, andernfalls eines oder keines. Eine Photozelle ist in der Lage, 
den Lichtmengenunterschied zu messen; durch eine Blende veränderlicher 
Breite ist es möglich, in jeweils einem Gang auch Bigramm-, Trigramm-, 
Tetragramm- usw. Parallelen festzustellen; innerhalb der verfügbaren Meß¬ 
genauigkeit konnten bis zu zehnstellige Parallelstellen gesucht werden. Die 
Registrierung der Lage einer gefundenen Parallelstelle erfolgte automatisch 
durch Funkenüberschlag auf einer Aluminiumfolie; die zweidimensionale Auf¬ 
zeichnung gibt die Lage auf (A) sowie auf (B) wieder. Das Gerät war auf 
schnelle Bearbeitung großer Mengen von Texten hin entwickelt; durch den 
Abtaster sollten 10 4 Zeichen pro Sekunde geschickt werden — in knapp drei 
Stunden war ein Textkonvolut von 10000 Zeichen, das 10 8 Vergleiche er¬ 
forderte, behandelt. Das Gerät wurde bei Kriegsende zerstört, bevor es 
länger praktisch erprobt werden konnte. In den U.S.A. baute Vannevar Bush 
1943 für OP-20-G ein ähnliches Gerät, TETRA (Spitznamen ICKI, TESSIE, 
siehe 18.6.3), das ebenfalls Parallelstellen mit weiten Abständen finden sollte. 
Mitte 1944 begann man unter Friedman, eine mit Mikrofilm arbeitende uni¬ 
verselle kryptanalytische Maschine mit der Bezeichnung 5202 zu entwickeln. 

17 . 4.5 Photoelektrische Abtastung, die auf deutscher, britischer und ameri¬ 
kanischer Seite herangezogen wurde, geht auf Maschinen zur Dokumentsuche 
zurück, für die in Berlin Michael Maul 1927 und Emanuel Goldberg 1928 
Patente bekamen. Vannevar Bustis Pläne für den COMPARATOR liefen 
parallel zur Entwicklung des RAPID SELECTOR, der zu einem Dokumen¬ 
tationssystem (‘Memex’) führen sollte. 

17.5 Kolonnenbildung und Phi-Test nach Kullback 

Ein einfaches mechanisches Mittel zur Feststellung von Koinzidenzen besteht 
darin, den Geheimtext nach einer vermuteten Periode d in Kolonnen T 2 , 
T 3 , ..., Td anzuordnen (Kolonnenbildung, engl, ‘writing out a deptti). 

Abb. 128 zeigt das Ergebnis für den Geheimtext von G. W. Kulp mit d = 12. 
Die Doppler mit dem Minimalabstand d stehen unmittelbar untereinander 
und fallen sofort auf, etwa Z ganz rechts in der ersten und der zweiten Zeile. 
Aber auch Doppler im Abstand von k • d findet man leicht, etwa ein weiteres 
Z ganz rechts in der drittletzten Zeile. Auch Doppler-Bigramme zeigen sich, 
die in verschiedenen Zeilen an gleicher Stelle stehen, etwa das Bigramm WK 
in der vierten und siebten Zeile, das Bigramm MW in der zweiten und elften 
Zeile, das Bigramm WZ in der zwölften und vorletzten Zeile, schließlich das 
Bigramm NU, das in der sechsten, achten und drittletzten Zeile zu finden ist. 

17 . 5.1 Macht man sich aber schon die (geringe) Mühe, den Geheimtext 
in Kolonnen umzuordnen, so kann man sofort mehr herausholen. Jede Ko¬ 
lonne T p ist ja mit dem selben Alphabet chiffriert, wenn die Periode getrof¬ 
fen wurde; andernfalls aber mit verschiedenen Alphabeten. Bildet man also 
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G 

E 

I 

E 

I 

A 

s 

G 

D 

X 

V 

z 

I 

J 

Q 

L 

M 

W 

L 

A 

A 

M 

X 

z 

Y 

Z 

M 

L 

W 

H 

F 

Z 

E 

K 

E 

J 

L 

V 

D 

X 

W 

K 

W 

K 

E 

T 

X 

L 

B 

R 

A 

T 

Q 

H 

L 

B 

M 

X 

A 

A 

N 

U 

B 

A 

I 

V 

S 

M 

U 

K 

H 

S 

S 

P 

W 

N 

V 

L 

w 

K 

A 

G 

H 

G 

N 

U 

M 

K 

w 

D 

L 

N 

R 

W 

E 

Q 

J 

N 

X 

X 

V 

V 

0 

A 

E 

G 

E 

u 

W 

B 

Z 

W 

M 

Q 

Y 

M 

0 

M 

L 

w 

X 

N 

B 

X 

M 

W 

A 

L 

P 

N 

F 

D 

c 

F 

P 

X 

H 

W 

Z 

K 

E 

X 

H 

S 

s 

F 

X 

K 

I 

Y 

A 

H 

U 

L 

M 

K 

N 

U 

M 

Y 

E 

X 

D 

M 

W 

B 

X 

Z 

s 

B 

C 

H 

V 

W 

Z 

X 

P 

H 

w 

L 

G 

N 

A 

M 

I 

U 

K 






14 

16 

12 

16 

30 

16 

14 

14 

18 

12 

18 

10 


Abb. 128. Geheimtext, in Kolonnen nach der vermuteten Periode 12 

Phi(T p ) für p = 1, 2,..., u — 1, u, so sollte man für alle Phi(T p ) im ersten 
Fall (u = k- d) Werte nahe ns erwarten, im zweiten Fall aber nahe ftR = jj . 

17 . 5.2 Tatsächlich ist es am besten, über die Phi(T p ), p = 1,2,..., u— 1, u 

zu mittein. Mit (vgl. 16.4.1) (f) p = YliLi m i ' ( m i ~ 1) ? w0 m i die 
Häufigkeit des i-ten Zeichens in der p-ten Kolonne ist, bildet man also 

Phi M ( T)=u- Y.% i <Pp/ m * ( M-u) . 

Der Faktor u dient zur Normalisierung. (Durch Auffüllen ist u\M erzielbar.) 

Wie in 16.4.1 zeigt man das Kappa-Phi^ -Theorem: 

1 M —1 

E Ka PP a{T^\T) = Phi (u) {T) . 

P= 1 

Phi^ u \T) ist also der Mittelwert aller Kappa-Werte in Abständen eines 
Vielfachen von u und erweist sich damit als sehr scharfes Instrument. 

17 . 5.3 Für u = 12 müssen zwölf Alphabete verwendet werden, auf jedes 
treffen 16 oder 15 Buchstaben. Für jede der 12 vermutlich monoalphabetisch 
chiffrierten Kolonnen in Abb. 128 läßt sich nun das (f) p und das ij) p berechnen: 

für die erste Spalte, die S und N dreifach, G doppelt hat, 

= 6 + 6 + 2 = 14 bzw. %j)i = 9 + 9 + 4 + l + l + l + l + l + l + l + l = 30; 
für die zweite Spalte, die N und U dreifach, B und F doppelt hat, 

< i >2 =6+6+2+2= 16 bzw. 02 = 9 + 9 + 4 + 4 + 1 + 1 + 1 + 1 + 1 + 1 = 32 ; 
für die dritte Spalte, die M dreifach, A, B und X doppelt hat, 

03 = 6+ 2 + 2 + 2 = 12 bzw. 0 3 = 9 + 4 + 4 + 4 +1 +1 +1 +1 +1 +1 +1 = 28 ; 
für die fünfte Spalte, die I vierfach, M, W und V dreifach hat, 
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Abb. 129. Geheimtext, in Kolonnen nach der vermuteten Periode 11 


(j )5 — 12 + 6 + 6 + 6 — 30 bzw. 0 5 — 16 + 9 + 9 + 9 + 1 + 1 + 1 — 46 5 
für die sechste Spalte, die W vierfach, H und V doppelt hat, 

0 6 = 12 + 2 + 2 - 16 bzw. 0 6 = 16 + 4 + 4+1 + 1 + 1 + 1 + 1 + 1 + 1 + 1 = 32 
usw. Abb. 128 zeigt, daß sich die Summe Y^p =1 ^p zu 190 und damit 
PfiA 12 ) = 12 • 190/(187 • 186) = 6.56% ergibt. 12 könnte sehr wohl eine 
Periode sein. 

Für u — 11 zeigt Abb. 129 das Ergebnis der Kolonnenbildung. Jetzt liest 
man sofort ab, welche Doppler-Zeichen es im Abstand 11 gibt, etwa W in der 
zweiten und dritten Zeile, oder mit einem Vielfachen von 11 als Abstand: V in 
der ersten, sechsten und siebten Zeile. Man findet übrigens keinen Doppler- 
Bigramme mehr. 

Bildet man aber mit den 11 Alphabeten (der Länge 17) $p •> so findet 

man (Abb. 129) den Wert 110 und Phi = 11 • 110/(187 • 186) = 3.48% . 

Phi ist deutlich niedriger als Phi^ 12 \ Die Hypothese, es handle sich bei 
dieser Kolonnenbildung zu je elf jeweils um eine monoalphabetische Chif¬ 
frierung, wird also nicht gestützt. 

Für u = 13 zeigt schließlich Abb. 130 das Ergebnis der Kolonnenbildung und 
der Bestimmung von Phi ( 13 ) = 13 • 126/(187 • 186) = 4.71% . 

Nunmehr kann man den Werteverlauf von Phi^ für u = 2,3,4,... betrach¬ 
ten (Abb. 131). Der Wert für u= 12 hebt sich gegenüber Abb. 116 auf diese 
Weise viel deutlicher heraus, so daß die vermutete Periode Zwölf durch die 
Kullback-Untersuchung für die weitere Arbeit gesichert erscheint. Dies be- 
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Abb. 130. Geheimtext, in Kolonnen nach der vermuteten Periode 13 


i' i' i' >t 


U 


Abb. 131. P/w^-Verlauf für den Geheimtext von G. W.Kulp 

deutet, verglichen mit der Friedman-Untersuchung, eine Verfeinerung der Pe¬ 
riodenanalyse durch die Kuhback-Untersuchung. Aber auch für u = 6, 18, 24 
tritt ein Effekt auf, die Periode Sechs kann nicht ausgeschlossen werden. 

17.6 Eine Abschätzung für die Periodenlänge 

Aus dem Kappa-Phi- Theorem von 16.4.1 ergibt sich für die Erwartungswerte 
{Phi(T))W = MGEe=~i 1 (Kappa(T,T?)) Q • 

Zu Beginn dieses Kapitels wurde darauf hingewiesen, daß 
(Kappa(T, T k d )) Q = k s , 

und des weiteren, daß, wenn u kein Vielfaches von d ist, „in der Regel“ 
(Kappa(T,T u )) Q ~ ^ . 
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Wird der Einfachheit halber angenommen, M sei ein Vielfaches der Periode 
d, so ergibt sich in der Summe ^ — 1 mal ns, die übrigen Male n R ; also ist 
(. Phi(T ))q^ eine Mittelung aus ns und n R , 

(M - 1) • <P/n(T))^ M) = (f - 1) • « s + ((M - 1) - (f - 1)) • k r . 

Unter der Annahme, daß das beobachtete Phi(T ) den Erwartungswert ap¬ 
proximiert, gilt also (Abraham Sinkov , um 1935) 

(M — 1) • Phi(T) « (f -l).„ s + ((M-l)-(f -1))-k r . 

Diese fundamentale Beziehung zeigt, wie bei gleichbleibender Quelle mit 
wachsender Periode einer polyalphabetischen Chiffrierung der Wert von Phi 
sich ändert. Für große M und d <C M kann man mit 

Phi(T) ~ k s + (1 - \)' K R 

fast ebenso gut arbeiten. 

Die Beziehung von Sinkov läßt sich auch nach d auflösen: 

(M — 1) • (Phi(T) — n R ) dh 
d ks ~ n R 


di 


^S - 


(n s - Phi(T))/M + (P/w(T) - * R ) ' 

Für große M und d <C M kann man auch die Näherung benutzen 

d - ~ ^R 

Phi(T) - n R ' 

Beispielsweise hat man für den Geheimtext von G. W.Kulp mit M = 187, 
Ks = ^englisch = 6.58%, n R = ^ = 3.85% nach 17.1 einen Wert von Phi von 
4.56% , dies ergibt 


d : 


2.73% 


(2.02%/187) + 0.71% 


3.79 


bzw. nach der Näherung 


d i 


2.73% 

0.71% 


= 3.85 . 


Dieser Wert ist gegenüber der vermuteten Periode d = 12 zu niedrig und 
würde besser zu d = 6 passen; es wäre auch nicht überraschend, wenn er zu 
hoch ausgefallen wäre. Zur Unterstützung einer Periodenanalyse nach Kasi- 
ski, Friedman oder Kullback ist die Abschätzungsformel — insbesondere bei 
kleinen Perioden — brauchbar; allein wäre sie wegen ihrer großen Instabilität 
ohne Nutzen. 



18 Zurechtrücken begleitender Alphabete 


Ist die Periode eines polyalphabetisch chiffrierten Geheimtexts hinlänglich 
zuverlässig bestimmt, so kann man nun — sofern möglich — versuchen, die 
einzelnen Alphabete auf ein Referenzalphabet (primary alphabet) zu redu¬ 
zieren. Wenn es sich um VIGENERE-Schritte handelt, läge ein Durchpro¬ 
bieren aller begleitenden Standardalphabete (7.4) nahe. Genauso kann man 
verfahren, wenn es sich um ALBERTI-Schritte handelt und wenn ein Nicht- 
Standard-Alphabet bekannt ge worden ist. Im allgemeinen muß aber für jedes 
Alphabet die Verschiebung gegenüber einem unbekannten Referenzalphabet 
bestimmt werden. Dazu wird sich wiederum eine Kullback-Untersuchung 
heranziehen lassen. Der Fall unbekannter unabhängiger Alphabete, wo jedes 
für sich einzeln bestimmt werden muß, erlaubt dieses Vorgehen nicht. 

18.1 Durchdecken der Häufigkeitsgebirge 

Angesichts der weiten Verbreitung, die VIGENERE-Chiffrierung genießt, 
mag es allemal lohnend sein, den mit geringem Aufwand zu führenden Ein¬ 
stieg zu versuchen. Dazu sind im Fall einer Periode d gerade d Häufigkeits¬ 
gebirge zu betrachten. Mustererkennung sowie Exhaustion nach 12.5 für die 
einzelnen CAESAR-Additionen funktioniert nicht, da die Texte „zerrissen“ 
sind. 


20001023063330000061525024 
ABCDEFGHI JKLMNOPQRSTUVWXYZ 

Abb. 132. Häufigkeitsverteilung in der ersten Kolonne 


18.1.1 Im Beispiel von Myers Text (17.4.3) bricht man am besten den 
Geheimtext in sechs Kolonnen und zählt für jede Kolonne die Häufigkeiten 
aus. Für die erste Kolonne, also für den Teiltext, der aus dem 1., dem 7., 
dem 13., dem 19. Zeichen usw. besteht, zeigt Abb. 132 das Ergebnis. Man 
erkennt sofort das Häufigkeitsgebirge des Englischen: NOPQR ist die v-w-x-y- 
z-Niederung, links anschließend JKLM ist der r-s-t-u-Kamm. DEFGH müßte 
dann, im richtigen Abstand liegend, der 1-m-n-o-p-Kamm sein, was nicht 
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deutlich herauskommt. Aber mit solchen Schwankungserscheinungen muß 
der Kryptanalyst rechnen, und auch damit, daß W nicht ganz die Häußgkeit 
hat, die man für den e-Gipfel erwartet. 

Mit S: S = a ist also der erste Schlüsselbuchstabe S eines VIGENERE- 
Schrittes gefunden: Es ist daher anzunehmen, daß es sich im ganzen um 
ein VIGENERE-System handelt und auch die anderen Chiffrierschritte auf 
Verschiebungen des Standardalphabets hinauslaufen. Mit ihnen verfährt man 
entsprechend und gewinnt Schritt für Schritt den Schlüssel 

SIGNAL ; 

die Bestätigung hndet man durch anschließende Entzifferung. Der Klartext 
lautet (die zu echten Parallelstehen führenden Teiltexte sind unterstrichen) 


i f s i g 
p r e s e 
r d e d b 
a p a b 1 
s b y w h 
t b e s i 
b 1 e i n 
r e f r e 
c h c h a 
r s m a n 


n a 1 s a 
n c e o f 
y c i p h 
e o f f r 
i c h t h 
m p 1 e c 
p r o p o 
q u e n t 
n g e a r 
u a 1 o f 


r e t o b 

a n e n e 
e r s t h 
e q u e n 
e s e c h 
i p h e r 
r t i o n 
a n d a s 
e b r i e 
signa 


e d i s p 
m y t h e 
e c i p h 
t c h a n 
a n g e s 
s a r e u 
a s t h e 
t h e m e 
f f r o m 
1 s 


layed inthe 

ymust begua 

ersmu stbec 

g e s t h _r u 1 e 

arema demus 

ndisc overa 

i r c h a n g e s a 
ssage sinea 

alber tjmye 


Man erkennt jetzt sogar, wie die Parahelstellen (17.4.3) zustande kamen: Die 
längste, LEEBMMTG, ergibt sich aus einem wiederholten Zusammentreffen 
von /frequent/ mit GNALSIGN ; eine andere, ZUDLJK, aus dem wiederholten 
Zusammentreffen von /mustbe/ mit NALSIG. CSSVMRS entsteht aus /chan- 
ges/ mit ALSIGNA. Andrerseits führte das wiederholte Vorkommen von /ci- 
pher/ im Klartext zu keiner Parallelst ehe. SEZM, GHP, ZMX, GEE stammen 
daher, daß /sthe/, /the/, /her/, /are/ auf ALS!, JVAL, SJG, GNA treffen. 
YVGYS und STY erweisen sich in der Tat als unechte Parallelen. 

18.1.2 Bei relativ langen Schlüsseln mag es schwer sein, aus der Auszählung 
etwas zu erkennen. Am besten und auch am einfachsten ist dann eine graphi¬ 
sche Darstellung. Für den Fall des Geheimtextes von G. W. Kulp (Abb. 115) 
sind die Vorarbeiten in Form der Kolonnenbildung für d= 12 in 17.5 bereits 
getroffen, die Arbeit kann sich unmittelbar an die Periodenbestimmung durch 
die Kullback-Untersuchung anschließen. Aus Abb. 128 gewinnt man unmit¬ 
telbar die zwölf Häufigkeitsgebirge, die in Abb. 133 Übereinanderstehen. Der 
Versuch hat sich auch hier gelohnt; Abb. 134 zeigt, wie man sie durch geeig- 
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1. Kolonne 


2. Kolonne 


3. Kolonne 


4. Kolonne 


5. Kolonne 


6. Kolonne 


7. Kolonne 


8. Kolonne 


9. Kolonne 


10. Kolonne 


11. Kolonne 


12. Kolonne 


J_J_I_l_l_I_I_I_ I i i 

i . i . i . . i. 


_i ± 


J_L 


J_I_L 


J_LJ_ 1 


J_L 



J_I_I_LJ_I_ ■ I I ■ I 


_J_1_ 

1 , , 

_ 1_ 

1 

_LJ_1_ 

.1 . 

■ ■■II 

1 1 . 1 

1. 

1 1 

1.1. 

1 1 

I _ ll 


_. ■ 1 ■ 

, _ 1_i_ 


L_LlLi 



J_L 


J_I_L 


J_i_l 


Referenz 


■ 11_111__ 11_i_Ll_i-.i_■_ 

abcdef ghi j kl mnopqrst uvwxyz 


Abb. 133. Häufigkeitsgebirge für den Geheimtext von G. W. Kulp 
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nete Verschiebung mit der Häufigkeitsverteilung des Englischen einigermaßen 
zur Deckung bringen (,durchdecken 4 ) kann. 

Allerdings führt die 11. Kolonne etwas in die Irre: /e/, der häufigste Buch¬ 
stabe, kommt darin gar nicht vor. Allgemein kann man sagen, daß es bei so 
kleinen Zeichenmengen besser gelingt, zunächst die seltenen Buchstaben zur 
Deckung zu bringen. Immerhin geben dann die /e/ in der dritten, vierten, 
fünften, neunten und zehnten Kolonnen einen guten Anhaltspunkt. 

Es ergibt sich, daß das Klartext-/a/ im ersten Alphabet U, im zweiten Al¬ 
phabet N, im dritten Alphabet I, im vierten, im achten und im zehnten 
Alphabet T, im fünften und im elften Alphabet E, im sechsten Alphabet 
D, im siebten und im zwölften Alphabet S entspricht. Im neunten Alphabet 
entspricht dem Klartext-/a/ das A, diese Substitution ist die identische. Sie 
bei einem VIGENERE zu unterdrücken, wäre angesichts der dann möglichen 
negativen Mustersuche (14.1) ein Kunstfehler. 

Zum Durchdecken hilft hier sicher auch, daß der Schlüssel den Buchstaben T, 
wie sich herausstellt, gleich dreimal — im vierten, im achten und im zehnten 
Alphabet enthält. Mit anderen Worten, das Schlüsselwort ist 

UNITEDSTATES 

Das ist den Umständen nach durchaus sinnvoll, und die Entzifferung nach 
Rohrbachs strenger Forderung (13.3.1) mag damit, mit d= 12 als Periode des 
Schlüssels, als abgeschlossen gelten. Für Neugierige sei noch der entzifferte 
Text 1 wiedergegeben (Abb. 135). 
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Abb. 135. Klartext von G. W. Kulp 

18.2 Chi-Test: Zurecht rücken gegen bekanntes Alphabet 

Das Zurechtrücken des Alphabets „mit bloßem Auge“ mag in Abb. 133 etwa 
bei der ersten oder bei der achten Kolonne schwierig erscheinen. 

18 . 2.1 Rechnerische Methoden erweisen sich als ein schärferes Mittel; es 
bietet sich an, die Verschiebung einer bestimmten Kolonne gegen das Refe¬ 
renzalphabet zu prüfen durch Berechnung des Chi Abb. 136 und Abb. 137 
zeigen dies für das unverschobene und das geeignet verschobene Alphabet 
der ersten Kolonne mit /a/ entsprechend U. 

1 Die Entzifferung gelang Brian J. Winkel 1975, darüber berichtete zuerst Martin Gardner 
im SCIENTIFIC AMERICAN, August 1977. 
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0110002011010 
ABCDEFGHI JKLM 
8.04 1.54 3.06 3.99 12.512.30 1.96 5.49 7.26 0.16 0.67 4.14 2.53 


abcdef gh 

30000300 
NOPQRS TU 

7.09 7.60 2.00 0.11 6.12 6.54 9.25 2.' 
nopqrstu 


i j k 1 m 

0 1110 
V W X Y Z 

0.99 1.92 0.19 1.73 0.09 
v w x y z 


Abb. 136. Chi für Referenzalphabet gegen 1. Kolonne 


0011100110002 

UVWXYZ ABCDEF G 

8.04 1.54 3.06 3.99 12.512.30 1.96 5.49 7.26 0.16 0.67 4.14 2.53 

abcdef ghi j kl m 

0110103000030 

HI J KLMNOPQRS T 

7.09 7.60 2.00 0.11 6.12 6.54 9.25 2.71 0.99 1.92 0.19 1.73 0.09 gg Qß 

nopqr s t uvwxyz 


Abb. 137. Chi für Referenzalphabet gegen 1. Kolonne, verschoben 


Im ersten Fall (a = A) ergibt sich Chi zu 64.81/16 % = 4.05%; im zweiten Fall 
(a = u) erhält man den bedeutend größeren Wert 86.03/16 % = 5.37%. Daß 
sich neben a = U auch a = J und a = F gegenüber allen anderen Verschie¬ 
bungen auszeichnet, zeigt sich in Tabelle 20. Diese drei Wahlmöglichkeiten 
sind exhaustiv weiterzubehandeln. 

Jedenfalls ist gezeigt, daß und wie ein periodisches VIGENERE-System unter 
nicht zu ungünstigen Umständen mechanisch entziffert werden kann. Für ein 
Problem vom Umfang der Sache Kulp vs. Poe reicht die Unterstützung durch 
einen Arbeitsplatzrechner völlig aus. 

18.2.2 Die Grundidee des Zurechtrückens gegen ein Referenzalphabet — sei 
es, im Fall von VIGENERE-Schritten, das Standardalphabet, sei es, im Fall 
von ALBERTI-Schritten, gegen ein in unbefugte Hände gefallenes permutier¬ 
tes Alphabet als Referenzalphabet — findet sich, ohne rechnerische Bestim¬ 
mung des Chi , schon früh. Es ist weithin üblich, Streifen mit dem Referenzal¬ 
phabet zu verwenden, auf denen etwa die neun häufigsten Zeichen (im Engli¬ 
schen etaonirsh) fett gedruckt oder rot geschrieben, bei maschinellen 
Lösungen im 2. Weltkrieg (z.B. Witt, Rohrbach ) auch mit halbdurchsichti¬ 
gem Papier oder mit Schwärzungen versehen sind; weiterhin die fünf sel¬ 
tensten Zeichen (im Englischen j k q x z ) ganz fehlen. Stellt man dann 
eine Kolonne des Geheimtextes als Zeile ein, so muß sich der zugehörige 
Klartext — der allerdings im Periodenabstand zerrissen ist — in irgendeiner 
Zeile finden. Plausibel ist es, die „fetteste“ Zeile oder eine der fettesten zu 
nehmen, vorausgesetzt sie hat keines (oder kaum eines) der seltenen Zeichen. 
In Abb. 138 ist dies für die erste Kolonne GIYLBNSN JWXCSNSG des 
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Alignment Chi 


a = A 

4.05% 

a = B 

3.54% 

a = C 

3.70% 

a = D 

2.64% 

a = E 

4.38% 

a = F 

5.54% 

a = G 

4.07% 

a = H 

2.97% 

a = I 

2.98% 

a = J 

5.13% 

a = K 

4.43% 

a = L 

3.60% 

a = M 

1.72% 

a = N 

4.30% 

a = 0 

4.85% 

a = P 

4.30% 

a = Q 

3.00% 

a = R 

2.77% 

a = S 

4.71% 

a = T 

3.59% 

a = U 

5.37% 

a = V 

3.71% 

a = W 

3.37% 

a = X 

2.65% 

a = Y 

4.18% 

a = Z 

4.62% 


Tabelle 20. 

Berechnete Werte von Chi 

für Referenzalphabet gegen 1. Kolonne 


in Abb. 128 behandelten Beispiels durchgeführt. Die mit a = U bezeichnete 
Verschiebung hebt sich deutlich hervor. Zwar hat die mit a = F bezeich¬ 
nete Zeile sogar ein fettes Zeichen mehr, aber auch ein Handicap-x. Die 
Problematik der Entscheidung zwischen diesen beiden Schlüsseln U und F 
für die erste Kolonne tritt wie in Abb. 134 wieder auf. Die übrigen Zeilen 
fallen deutlich ab. 

18.2.3 Wird auch für die zweite Kolonne die Verschiebung ermittelt, so kann 
man darauf hoffen, daß Bigrammhäufigkeiten die Entscheidung zwischen den 
beiden konkurrierenden Schlüsseln U und F erleichtern. Die Bestimmung 
der einzelnen Schlüsselbuchstaben stützt sich so gegenseitig. 

18.2.4 Eine verwandte Methode benutzt einen Schieber oder eine Scheibe, 
genau dem Original entsprechend, also das Standardalphabet oder ein in 
unbefugte Hände gefallenes permutiertes Alphabet aufweisend. Die häufigen 
Klartextzeichen werden wieder fett geschrieben, die seltensten Zeichen fallen 
weg. Auf dem Lineal oder auf der Scheibe der Geheimtextzeichen werden die 
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a === A 


a = U 


a = M 


a = J 


a = F 


Abb. 138. 
Streifenmethode: 
Suche nach der 
„fettesten“ Zeile 
(für 1. Kolonne 
in Abb. 128) 


beobachteten Häufigkeiten notiert. Für die Buchstaben der Kolonne 
GIYLBNSNJWXCSNSG zeigt Abb. 139 folgende Markierungen: 

abcdefGhTjklmnopqrItuvwxyz 
Man verschiebt nun die beiden Schieber oder Scheiben gegeneinander, bis 
man die „fetteste“ Zuordnung hat. Für den Fall des Standardalphabets fällt 
diese Methode mit der unter 18.2.2 geschilderten zusammen. 
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Abb. 139. Schieber für Entzifferung einer Kolonne 
a = U: gute, a = F: ebenfalls gute, a = M: schlechte Übereinstimmung 


18 . 2.5 Nach diesem Prinzip kann man in allen Fällen vorgehen, in 
denen die Vorschrift bekannt ist, nach der aus einer Referenzsubstitution 
alle Substitutionen erhalten werden, also beispielsweise auch für ROTOR- 
Chiffrierschritte. Eine Tiefe von mindestens 6 bis 9 ist dabei wünschenswert, 
d.h. ein Geheimtext von 6 bis 9 Geheimtextzeichen pro zu bestimmendes Al¬ 
phabet. Anders ausgedrückt: Um gegen diesen Angriff sicher zu sein, sollte 
der Klartext nicht länger als sechs mal die Schlüssellänge sein. 

Im übrigen ist die Methode auch für eine polyalphabetische Chiffrierung mit 
beliebigen unabhängigen Alphabeten brauchbar, wenn — womit man nach 
Kerckhoffs und Shannon immer rechnen muß — alle Alphabete in unbefugte 
Hände gefallen sind, also etwa ein ganzer Zylinder M-94 oder ein ganzes 
Streifengerät CSP-642, oder bereits in Familien gruppiert sind (vgl. 14.3.6). 
Man braucht dann nur einen in der richtigen Periode durch Kolonnenbildung 
zerrissenen Teiltext gegen jedes einzelne Alphabet durchzuprobieren. Wie¬ 
derum reicht dazu heute die Unterstützung durch einen Arbeitsplatzrechner 
völlig aus. Allerdings sind die zerrissenen Teiltexte oft zu kurz, um etwas 
Brauchbares zu ergeben. Normalerweise braucht man mindestens 40 oder 50 
Geheimtextzeichen pro Schlüsselzeichen, um Erfolg zu haben. 

18.3 Chi-Test: Gegenseitiges Zurecht rücken 
begleitender Alphabete 

Ist das Referenzalphabet nicht das Standardalphabet, so verbleibt immer 
noch die Möglichkeit, die einzelnen begleitenden Alphabete gegenseitig zu¬ 
rechtzurücken und damit den polyalphabetisch chiffrierten Geheimtext zu 
ersetzen durch einen monoalphabetisch chiffrierten Geheimtext, der sodann 
nach den Methoden des 15. Kapitels zu brechen ist. Dieses Vorgehen ist auch 
brauchbar, falls das Referenzalphabet das Standardalphabet ist, wenn man 
das aber bei sehr kleinem Umfang des Geheimtextes nicht erkennt. 

11 9 12 9 12 8 3 4 10 21 5 7 19 9 20 10 8 20 12 4 8 14 22 13 7 26 

ABCDEFGHI JKLMNOPQRSTUVWXYZ 

Abb. 140. Häufigkeitsverteilung im Geheimtext 18.3.1 
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18 . 3.1 Nachfolgender Geheimtext (Sinkov 1968) hat die in Abb. 140 wie¬ 
dergegebene Häufigkeitsverteilung, die mit ihrer Ausgeglichenheit nicht auf 
Monoalphabetizität hindeutet. 


S WW J R 

G P RDN 

F MW J E 

X EWG R^ 

Z J QDN 

V J Z R V 

S Z XO J 

VWWRO 

V B H RM 

MO F D L 

I P AX V 

E Z WU T 

CZOZA 

AQQ J L 

U P K Z Z 

X UM J A 

P C Z 0 E 

B AWZ R 

Z YK Z I 

P 0 F 0 L 

UOCRE 

N YKR I 

C AMOX 

I 0 0 RR 

Z J K 0 L 

VWW J N 

V P K Z A 

A F 0 C A 

M Z OMR 

C J Z D Y 

E J X E L 

XRFQ I 

Z J CM A 

R J VW I 

D S WZ X 

A S 0 T R 

B J B Z 0 

Q P XM I 

P D J V Z 

Z XHGQ 

S Z F D Q 

F J Z J R 

BMW I C 

E Z MW L 

ME C V Y 

vwz ox 

TWH S R 

UU BMT 

N S J DW 

S S OOW 

CUN J Y 

V J EW I 

P P F S L 

MOQ V Y 

C VWR I 

S MM HW 

XME J Y 

NU ZMV 

MXWC R 

N B RD E 


S N B 

Der Phi -Wert ist 4.56% und bestätigt diese Vermutung. Es finden sich neun 
Parallelstellen der Länge 3, allerdings keine längeren; die Abstände sind für 


WWJ 

125 = 5 • 5 • 5 

RZJ 

100 = 2 • 2 • 5 • 5 

JVW 

132 =2-2-311 

VWW 

90 = 2 • 3 • 3 • 5 

CZO 

21 =3-7 

ZAA 

70 = 2 • 5 • 7 

PKZ 

60 = 2 • 2 • 3 • 5 

ZZX 

121 = 11-11 

CAM 

28=2-2-11 . 


Die Kasiski-Untersuchung vermag nicht zwischen den möglichen Perioden 5 
und 7 zu unterscheiden. Dies gelingt jedoch mit der kolonnenweisen Phi- 
Bestimmung nach Kullback: Für eine Anordnung in 7 Kolonnen erhält man 
den niedrigen Wert Phi^ = 4.6%; für eine Anordnung in 5 Kolonnen er¬ 
gibt sich jedoch ein Anhaltspunkt für Monoalphabetizität in jeder Kolonne: 
Abb. 141a zeigt dies sowohl hinsichtlich der wenig ausgeglichenen Häufigkei¬ 
ten wie hinsichtlich der Bildung der 0 r -Werte, es resultiert Phi^ = 6.47%. 
Jedoch scheint keine der monoalphabetisch chiffrierten Kolonnen ein verscho¬ 
benes Häufigkeitsgebirge für das Englische oder eine andere geläufige Sprache 
aufzuweisen: Ein Blick voraus auf Abb. 141b zeigt dies, etwa für die erste Ko¬ 
lonne. Es ist also nicht an ein VIGENERE-System zu denken. 

18 . 3.2 Zur Entzifferung jeder einzelnen Kolonne für sich ist die Textbasis 
zu schmal. Wenn es sich um ALBERTI-Schritte handeln würde, könnten die 
einzelnen, gegenüber einem bestimmten, aber unbekannten Referenzalphabet 
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1. Kolonne 

34513210200054041161360405 
ABCDEFGHI J KLMNOPQRS TUVWXYZ 

01 = 190 

2. Kolonne 

221121000 10 0041561140415226 

ABCDEFGHI J KLMNOPQRS TUVWXYZ 

02 = 234 

3. Kolonne 

1330250302504160320001 11 306 

ABCDEFGHI J KLMNOPQRS TUVWXYZ 

03 = 258 

4. Kolonne 

00271021180050701721133107 
ABCDEFGHI J KLMNOPQRS TUVWXYZ 

04 = 262 

5. Kolonne 

50104000710713202902033352 
ABCDEFGHI J KLMNOPQRS TUVWXYZ 

05 = 240 


Abb. 141a. Häufigkeitsverteilung in fünf Kolonnen 


1. Kolonne 


2. Kolonne 


3. Kolonne 


4. Kolonne 


5. Kolonne 



ABCDEFGHI J KLMNOPQRS TUV WX Y Z 



XYZ ABCDEFGHI J KLMNOPQRS TUVW 



KLMNOPQRS TUV WX YZABCDEFGHI J 



R S T U V WX YZABCDEFGHI J KLMNOPQ 



WX YZABCDEFGHI J KLMNOPQRS TUV 


Abb. 141b. Durchgedecktete Häufigkeitsgebirge für fünf Kolonnen 
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verschobenen Alphabete gegenseitig durchgedeckt werden; dadurch entstün¬ 
de ein reduzierter Zwischentext, der alle Kolonnen monoalphabetisch um¬ 
faßt, also eine wesentlich breitere Textbasis bietet und den Kontakt wieder 
herstellt. Das Ergebnis einer solchen Durchdeckung zeigt Abb. 141b. Zur 
Durchdeckung der i-ten mit der k-te Kolonne berechnet man für q = 0 ... N —1 
das Chi der i-ten Kolonne gegen die um q Schritte zyklisch verschobene 
k-te Kolonne. Normalerweise hebt sich aus einer Reihe um kr schwankender 
Werte ein einziger, in der Nähe von n g liegender Wert heraus (Tabelle 21), 
das zugehörige q ergibt die zur Durchdeckung erforderliche Verschiebung. 


Alignment Chi 


AW=A^ 

158/61 2 = 4.25% 


AW=B^ 

129/61 2 = 3.47% 


AW^CW 

161/61 2 = 4.33% 


A (l)^ D {2) 

122/61 2 = 3.28% 


A (l)^ E (2) 

139/61 2 = 3.74% 



136/61 2 = 3.65% 


aw^gw 

100/61 2 = 2.69% 


a^=hw 

169/61 2 = 4.54% 


Aw=r 2 ) 

126/61 2 = 3.39% 


A^=J ( - 2 '> 

124/61 2 = 3.33% 


AW=K^ 

187/61 2 = 5.03% 


A^=U 2 ) 

87/61 2 = 2.34% 


A^=M^ 

161/61 2 = 4.33% 


A^=N^ 

138/61 2 = 3.71% 


aw=ow 

161/61 2 = 4.33% 


A (l)=p(2) 

138/61 2 = 3.71% 


A^=Q^ 

115/61 2 = 3.09% 


AA)=R( 2 ) 

172/61 2 = 4.62% 


aw=s^ 

129/61 2 = 3.47% 



122/61 2 = 3.28% 


AW=U^ 

185/61 2 = 4.97% 


A^=V^ 

136/61 2 = 3.65% 


A (i)=w^ 

149/61 2 = 4.00% 


A^=X^ 

234/61 2 = 6.29% <— 

Tabelle 21. 

y4(i)^y(2) 

97/61 2 = 2.61% 

Berechnete Werte von Chi 
für erste Kolonne 

A^)=Z^ 2 ) 

152/61 2 = 4.08% 

gegen zweite Kolonne 


Sinkov gibt verschiedene Strategien des Zurechtrückens an: die kettenförmige 
mit einer Durchdeckung der 2. Kolonne gegen die 1., der 3. Kolonne gegen 
die 2., der 4. Kolonne gegen die 3., der 5. Kolonne gegen die 4. (usw.), womög¬ 
lich auch zur Kontrolle ringförmig geschlossen; eine sternförmige mit einer 
Durchdeckung der 2. Kolonne gegen die 1., der 3. Kolonne gegen die 1., der 
4. Kolonne gegen die 1., der 5. Kolonne gegen die 1. (usw.). Beide Strategien 
haben Vor- und Nachteile und sollten nicht gedankenlos verwendet werden. 
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Es kann Vorkommen, daß sich nicht ein einziger CTiz-Wert deutlich hervorhebt, 
wie es das Beispiel der Durchdeckung der 3. Kolonne gegen die 4. Kolonne 
zeigt (Tabelle 22): A^=H^ und A^=N^ unterscheiden sich kaum. Dann 
kann man zunächst eine andere Strategie verfolgen; bei zu kurzen Texten muß 
man womöglich zur Exhaustion unentschiedener Fälle greifen. In unserem 
Beispiel stellt sich heraus, daß A^=H^ die richtige Zuordnung ist. Das 
ergibt schließlich die in Abb. 141b vorgenommene Durchdeckung. 

Es ist also gezeigt, daß und wie ein periodisches ALBERTI-System unter nicht 
zu ungünstigen Umständen mechanisch bis auf eine höchstwahrscheinlich 
monoalphabetische Chiffre entziffert werden kann. Für ein Problem vom 
Umfang des Beispiels von Sinkov reicht die durch einen Arbeitsplatzrechner 
erzielte Unterstützung völlig aus. 

18 . 3.3 Unter den in Abb. 141b bei vertikaler Ablesung auftretenden Wörtern 


AXKRW, BYLSX, CZMTY, 
das Schlüsselwort sein. 

DANUZ USW. 

fällt das Wort ROBIN auf. Es könnte 

Alignment 

Chi 


A^=A^ 

187/61 2 

= 5.03% 


A^=B^ 

86/61 2 

= 2.31% 


A^=C^ 

148/61 2 

= 3.98% 


V 3 ) = .D(4) 

164/61 2 

= 4.41% 


A(3)=e( 4) 

165/61 2 

= 4.43% 


A( 3)-^ j p(4) 

117/61 2 

= 3.14% 


A^=G^ 

82/61 2 

= 2.20% 


A^=H { 4 ) 

231/61 2 

= 6.21% <— 


y4( 3 )=/( 4 ) 

122/61 2 

= 3.28% 


aA)ajA) 

110/61 2 

= 2.96% 


aA)= k a) 

143/61 2 

= 3.84% 


A A)= L A) 

109/61 2 

= 2.85% 


AA)=mA) 

150/61 2 

= 4.03% 


AA)=nA) 

228/61 2 

= 6.13% <— 


AA)=oA) 

53/61 2 

= 1.42% 


i 4(3)^.p(4) 

180/61 2 

= 4.84% 


AA)=QA) 

146/61 2 

= 3.92% 


AA)=rA) 

103/61 2 

= 2.77% 


AA)=sA) 

206/61 2 

= 5.54% 


7 4(3)^p(4) 

108/61 2 

= 2.90% 


AA)=uA) 

124/61 2 

= 3.33% 


A^)=vA) 

190/61 2 

= 5.11% 


AA)^wA) 

113/61 2 

= 3.04% 


A (3)^ X (4) 

124/61 2 

= 3.33% 

Tabelle 22. 

Berechnete Werte von Chi 

A(3)=y(4) 

141/61 2 

= 3.79% 

für dritte Kolonne 

AA)=zA) 

124/61 2 

= 3.33% 

gegen vierte Kolonne 
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18.4 Wiedergewinnung des Referenzalphabets 

Die Herstellung des monoalphabetisch chiffrierten Zwischentextes geschieht 
durch systematische Umbezeichnung, wie sie Abb. 141b festlegt: Das Stück 
Geheimtext SWWJR erfährt folgende Behandlung: 

SWWJR = S (1) W (2) W (3) J (4) R (5) = = SZMSV (1) 

Insgesamt ergibt sich folgender Zwischentext, bezogen auf das Alphabet W 
der ersten Kolonne 


SZMS V 

GSHMR 

F PMS I 

XHMPV 

ZMGMR 

VMP AZ 

SCNXN 

VZMAS 

VEXAQ 

MRVMP 

I SQGZ 

ECMDX 

CCEIE 

ATGSP 

US AID 

XXC S E 

PFPXI 

B DM I V 

ZB A I M 

PRVXP 

URSAI 

NB AAM 

CDCXB 

I RE AV 

ZMAXP 

VZMSR 

VS AIE 

A I ELE 

MCEVV 

CMPMC 

EMNNP 

XUVZM 

ZMSVE 

RML FM 

DVMIB 

AVE C V 

BMR I S 

QSNVM 

PGZED 

Z AXPU 

S CVMU 

FMP SV 

BPMRG 

ECCFP 

MH S EC 

VZ PXB 

TZXBV 

UXRVX 

NVZMA 

SVEXA 

C XD SC 

VMUFM 

P S VBP 

MRGEC 

CYMAM 

SPCQA 

XPUSC 

NXP VZ 

MAMLV 

NEHMI 


SQR 

Die Häufigkeitsverteilung, bezogen auf das Alphabet W , lautet 

20 11 21 7 19 6 7 4 14 0 0 3 40 9 0 23 5 13 25 2 8 29 0 20 1 16 

ABCDEFGHI JKLMNOPQRSTUVWXYZ 

Der Einstieg geschieht danach mit 

e , V (1) = t , S (1) = a . 

Aus dem häufig vorkommenden Trigramm VZM= tZe erhält man 
Z^)= h . 

Wenn man im freien Stil arbeitet, kann man aus dem Vorkommen von /heat/ 
großzügig auf das Vorkommen von /temperature/ schließen, tatsächlich hat 
die gegen Ende der siebten Zeile und in kurzem Abstand wieder auftretende 
Parallelstelle VMUFMPSVBP = teUFePatBP das verlangte Muster. Damit hat 
man bereits 

U (1) = m , F^)= p , P (1) = r , B (1) = u . 

Zu Beginn der fünften Zeile findet sich 
VZMAXPVZMSRV = theAXrtheaRt = thenortheast . Also 

A^)= n , X (1) = o , R (1) = s . 

Die Entzifferung gelingt nun, da etaonrsh und einige seltenere Zeichen 
bestimmt sind, fast mühelos: 

aheat GaHes preal oHert heGes ternh 

aCNoN thena tEonQ ester IaQGh ECeDo 

CCEIE nTGar manID ooCaE rprol uDelt 

hunle rstor msanl Nunne CDCou IsEnt 

henor theas tanlE nIELE eCEtt CereC 
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E e N N r 
u e s I a 
u r e s G 
N t h e n 
C Y e n e 
a Q s 


a h e a t 
a 1 f o f 
1 1 i d i 
h u n d e 
h e n o r 
i e f f r 
u e s d a 
u r e s w 
f t h e n 
1 b e n e 
a y s 


o m t h e 
Q a N t e 
E C C p r 
a t E o n 
a r C Q n 


w a v e s 
t h e n a 
n g w a r 
r s t o r 
t h e a s 
o m t h e 
y a f t e 
i 1 1 p r 
a t i o n 
a r 1 y n 


h e a t E 
r G h E D 
e H a E C 
C o D a C 
o r m a C 


p r e a d 
t i o n y 
m a n d c 
m s a n d 
t a n d i 
h e a t i 
r w h i c 
e v a i 1 
local 
o r m a 1 


s e L p e 
h n o r m 
t h r o u 
t e m p e 
North 


o v e r t 
e s t e r 
o o 1 a i 
f u n n e 
n d i x i 
s e x p e 
h n o r m 
t h r o u 
t e m p e 
f o r t h 


D t e I u 
a C t e m 
T h o u t 
r a t u r 
e n e L t 


, eW= i , 


h e w e s 
d a y w h 
r p r o d 
1 c 1 o u 
e 1 i t t 
c t e d u 
altem 
g h o u t 
r a t u r 
e n e x t 


n t E C t 
p e r a t 
m o s t o 
e s G E C 
N E H e I 


t e r n h 

i 1 e c o 

u c e d t 

d s i n t 

1 e r e 1 

n t i 1 t 

p e r a t 

m o s t o 

e s w i 1 

f i v e d 


Man ergänzt der Reihe nach 

G (1) = w , H (1) = v , I (1) = d , C (1) = 1 , f 

q(!)= y , D (1) = c , T (1) = g , L (1) = x , Y (1) = b . 

und erhält einen Text, der offensichtlich Sinn macht: 


Damit ist das Referenzalphabet bis auf eine Verschiebung wiedergewonnen. 
Über /j/, /k/, /q/, /z/ erfährt man nichts. Wenn man annehmen will, daß 
ROBIN tatsächlich der Schlüssel war, so lautet das zum Schlüsselbuchstaben 
A gehörige Referenzalphabet 

abcdef ghi j kl mnopqrst uvwxyz 

BHMRVWCI N**LDJGO*YAEKQPUZ*, 

zur Dechiffrierung umgeordnet 

ABCDEF GHI J KLMNOPQRS TUVWXYZ 

sagmt * o b h h u 1 ci pwvd**xef * r y . 

Jetzt scheint auch der „zweite Schlüssel“ zur Festlegung des permutierten 
Alphabets durch: Schreibt man die Alphabetsequenz in fünf Spalten 

s o 1 v e 
a b c d f 
ghi** 
m n p * r 
t u w x y 
* 

so sieht man in der ersten Zeile das Kennwort /solve/ — das permutierte 
Alphabet ist also nach der in 3.2.5 beschriebenen Methode gebildet. Die 
Vervollständigung des Alphabets gelingt so auch: 
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s o 1 v e 

a b c d f 

g h i j k 

m n p q r 

t u w x y 

z 

das zum Schlüsselbuchstaben A gehörige Referenzalphabet lautet komplett 

abcdef ghi j kl mnopqrst uvwxyz 
BHMRVWCI NSXLDJ GOTYAEKQPUZF. 

Damit ist im Sinn von Rohrbachs Forderung die Entzifferung beweiskräftig. 

Die echten Parallelstellen RZJ und VWW werden zu /the/, PKZ wird zu /and/ 
entziffert; WWJ ist /hea/ in hea(t) bzw. (nort)hea(st) , ZAA ist /din/ in 
(colli)din(g) bzw. (an)d u in . Es bestätigt sich auch das unwahrscheinliche 
Vorkommnis von vier unechten Parallelstellen. 

18.5 Kerckhoffs’ symetrie de position 

Im Abschnitt 18.4 wurde aus methodischen Gründen nach einer Häufigkeits¬ 
analyse im freien Stil verfahren. Häufig liegen aber Anhaltspunkte für wahr¬ 
scheinliche Wörter vor und es besteht damit die Möglichkeit einer Musterer¬ 
kennung. Dabei können für jedes der begleitenden Alphabete auch gewisse 
seltenere Klartext-Buchstaben entziffert werden. Kerckhoffs erkannte 1883, 
daß es in geeigneten Fällen möglich ist, eine solche Entzifferung von Zeichen 
einer gewissen Kolonne auch in andere, unbeteiligte Kolonnen zu übertragen. 
Er nannte die diesbezügliche, auf der Kommutativität der Addition in Z 
(vgl. 5. Kapitel) beruhende Eigenschaft der verschobenen Alphabete symetrie 
de position. Unter diesem Stichwort läuft insbesondere die nachfolgend an 
einem Originalbeispiel erläuterte Methode von Kerckhoffs . 

18 . 5.1 Der Geheimtext sei 

RBNBJ JHGTS PTABG JXZBG JICEM Q AMU W 

IVGAG NEIMW REZKZ SUABR RBPBJ CGYBG 

JJMHE NPMUZ C H GWO UDCKO JKKBC PVPMJ 

NPGKW PWADW CPBVM RBZBH JWZDN MEUAO 

JFBMN KEXHZ AWMWK AQMTG LVGHC QBMWE 

und eine Kasiski-Untersuchung der Bigramm-Parallelen RB, BJ, BG, RE, MJ, 
PQ nährt den Verdacht auf eine polyalphabetische Chiffrierung der Periode 5, 
möglicherweise mit verschobenen Alphabeten. Als ^mots probables » des 
angeblich am 2. September 1882 in London aufgegebenen, an die Agence 
Havas in Le Caire (Kairo) gerichteten chiffrierten Telegramms kommen in 
Frage Arabie, Wolseley 2 , Suez, Ismailia, canal, general, soldats . Kerck¬ 
hoffs stellt zunächst durch Häufigkeitsanalyse fest, daß in der ersten Kolonne 


2 


Lord Garnet J. Wolseley, Commander-in-Chief of the British Army. 
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e , in der zweiten und vierten ß( 2 ) = ß( 4 ) = e , in der dritten m( 3 )= e , 
in der fünften Z^= e sein könnte. Er findet damit 

RBNBJ JHGTS PTABG JXZBG JICEM Q AMU W 
* e * e * e * * * * * * * e * e * * e * e * * * * * * e * * 


was er unter einiger Überzeugungsarbeit als le general Wolseley . deutet. 

Das führt zum Einstieg 


RBNBJ JHGTS PTABG JXZBG JICEM Q AMU W 
legen eralw olsel e y * e * e * * * * * * e * * 

Damit ist auch G^ 5 )= 1 festgelegt und nach den Umständen liegt eine Fort¬ 
setzung mit telegraphie nahe: 


RBNBJ JHGTS PTABG JXZBG JICEM QAMUW 
legen eralw olsel eytel egrap hie** 

Soweit die Vorgeschichte; die eigentümliche Methode setzt hier ein: Bisher 
ist (unter üblichem Vorbehalt) entziffert 

abcdef ghi j kl mnopqrst uvwxyz 


(1) 

( 2 ) 

(3) 

(4) 

(5) 


G 

E 


J Q 
B I A 
M N 
B 
Z 


R P 
T H 

C A Z 
T 

G J M 


X 


s 


Die symetrie de position kommt jetzt ins Spiel: Nicht nur müssen wegen 
ß( 2 )= ß( 4 )= e, t( 2 )= t^ 4 )= 1 die zweite und die vierte Zeile gleich sein, was 
eine Ergänzung zu 

abcdef ghi j kl mnopqrst uvwxyz 

(2) E B I A T H X 

(4) E B I A T H X 


erlaubt, es muß auch — da J in der ersten und in der fünften Zeile vorkommt 
und jW= e , j( 5 )= n = e+9 ist — die fünfte Zeile gegenüber der ersten um 
9 Plätze nach rechts verschoben sein, was acht Chiffrenzeichen 


abcdef ghi j kl mnopqr s t uvwxyz 

(1) GJMQ R SP Z 

(5) Z GJMQ R SP 

festlegt. Aber auch die dritte und die fünfte Zeile sind etwa durch m( 3 )= e , 
m( 5 )= p = e-fll verbunden. Dies führt zu folgender Erweiterung auf elf 
Chiffrenzeichen: 

abcdef ghij kl mnopqr st uvwxyz 

(1) GJMQN R SP CAZ 

(3) GJMQN R SP CAZ 

(5) CAZ GJMQN 


R SP 
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Schließlich ist die zweite und die dritte Zeile verbunden, etwa durch i , 

s = i+11 . Dies ergibt jetzt eine Verbindung aller fünf Alphabete unter 
Festlegung von insgesamt siebzehn Chiffrenzeichen: 



a 

b 

c 

d 

e f 

g h 

i 

j 

k 

1 

m n 

0 

p q 

r 

S 

t 

U V 

w 

X 

y 

z 

(1) 



G 

H 

J 

M Q 

N 


X 

R 

E 

S 

p 

B 


I 

C 

A Z 


T 



(2) 

E 

s 

P 


B 

I C 

A 

Z 


T 




G 

H 

J 


M Q 

N 


X 

R 

(3) 

G 

H 

J 


M Q 

N 

X 

R 

E 

S 

P 


B 

I 

C 

A 

Z 

T 





(4) 

E 

S 

P 


B 

I C 

A 

Z 


T 




G 

H 

J 


M Q 

N 


X 

R 

(5) 


I 

C 

A 

Z 

T 




G 

H 

J 


M Q 

N 


X 

R E 

S 

P 


B 


Noch fehlen die Entzifferungen für D, F, K, L, O, U, V, W, Y . Man sollte aber 
mit 17 von 26 Zeichen erwarten, daß die weitere Entzifferung ohne Mühe 
läuft. In der Tat gibt das bisher Geleistete 


RBNB J 

J HGT S 

P T A B G 

J X Z B G 

J I C EM 

Q AMU W 

legen 

e r a 1 w 

o 1 s e 1 

e y t e 1 

e g r a p 

hie** 

I VG AG 

N E I MW 

R E Z K Z 

S U A B R 

RB P B J 

CG YB G 

s * a i 1 

i a q u * 

1 a t t e 

n * s e u 

lernen 

t q * e 1 

J J MH E 

N PMU Z 

CHGWO 

UDCKO 

J KKB C 

P VPM J 

e s e r v 

i c e * e 

t r a * * 

* * r * * 

e * * e c 

o mm u n 


Mit dem wahrscheinlichen Wort Ismailia wird V, W festgelegt; offensichtliche 
Ausfüllungen geben U, Y ; liest man in der dritten Zeile transports heraus, 
so hat man auch D, K, O . F und L zieren sich am längsten, sie kommen 
erstmals in der fünften Zeile des Geheimtextes vor. 

Aber in der Zwischenzeit zeigt sich ein besserer Weg, die Entzifferung zu 
Ende zu führen: Für die Bildung des Alphabets ist das Kennwort offenbar 
RESPUBLICA . Somit können die fünf Alphabete vervollständigt werden zu 

abcdef ghi j kl mnopqrst uvwxyz 

(1) DFGHJ KMQNOXRES PUBLI CAZYTVW 

(2) ES PUBLI CAZ YTVWDF GHJ KMQNOXR 

(3) GHJ KMQNOXRES PUBLI CAZ YTVWDF 

(4) ES PUBLI CAZ YTVWDF GHJ KMQNOXR 

(5) LI CAZ YTVWDF GHJ KMQNOXRES PUB 

In der ersten Spalte unter dem Klartext buchst aben /a/ scheint als Schlüssel¬ 
wort DEGEL (frz. degel, Tauwetter) auf, was Sinn ergibt. 

Die vollständige Chiffriertabelle ( tabula recta) zeigt Tabelle 23. Mit welcher 
Zeile man die Chiffriertabelle beginnen soll, bleibt übrigens offen; wir ha¬ 
ben, Kerckhoffs folgend, diejenige Zeile genommen, in der das Kennwort am 
Ende steht. Das Schlüsselwort der Länge 5 ist dann FRHRW — aber der 
,wahre c Schlüssel ist wohl DEGEL; die erste Spalte der Matrix dient dann als 
Schlüsseleingang. 
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a 

b 

C 

d 

e 

f 

g 

h 

i 

j 

k 

1 

m 

n 

0 

P 

q 

r 

s 

t 

u 

V 

w 

X 

y 

Z 

A 

Z 

Y 

T 

V 

WD 

F 

G 

H 

J 

K 

M 

Q 

N 

O 

X 

R 

E 

S 

P 

U 

B 

L 

I 

c 

A 

B 

Y 

T 

V 

WD 

F 

G 

H 

J 

K 

M 

Q 

N 

O 

X 

R 

E 

S 

P 

U 

B 

L 

I 

C 

A 

Z 

C 

T 

V 

WD 

F 

G 

H 

J 

K 

M 

Q 

N 

0 

X 

R 

E 

s 

P 

u 

B 

L 

I 

C 

A 

Z 

Y 

D 

V 

WD 

F 

G 

H 

J 

K 

M 

Q 

N 

0 

X 

R 

E 

S 

p 

u 

B 

L 

I 

C 

A 

Z 

Y 

T 

E 

WD 

F 

G 

H 

J 

K 

M 

Q 

N 

O 

X 

R 

E 

S 

P 

u 

B 

L 

I 

C 

A 

Z 

Y 

T 

V 

F 

D 

F 

G 

H 

J 

K 

M 

Q 

N 

0 

X 

R 

E 

S 

P 

u 

B 

L 

I 

C 

A 

Z 

Y 

T 

V 

w 

G 

F 

G 

H 

J 

K 

M 

Q 

N 

O 

X 

R 

E 

S 

P 

u 

B 

L 

I 

C 

A 

Z 

Y 

T 

V 

WD 

H 

G 

H 

J 

K 

M 

Q 

N 

0 

X 

R 

E 

S 

P 

u 

B 

L 

I 

C 

A 

Z 

Y 

T 

V 

WD 

F 

I 

H 

J 

K 

M 

Q 

N 

0 

X 

R 

E 

S 

P 

u 

B 

L 

I 

c 

A 

Z 

Y 

T 

V 

WD 

F 

G 

J 

J 

K 

M 

Q 

N 

0 

X 

R 

E 

S 

P 

u 

B 

L 

I 

C 

A 

Z 

Y 

T 

V 

WD 

F 

G 

H 

K 

K 

M 

Q 

N 

0 

X 

R 

E 

S 

P 

u 

B 

L 

I 

C 

A 

Z 

Y 

T 

V 

WD 

F 

G 

H 

J 

L 

M 

Q 

N 

0 

X 

R 

E 

S 

P 

u 

B 

L 

I 

C 

A 

Z 

Y 

T 

V 

WD 

F 

G 

H 

J 

K 

M 

Q 

N 

0 

X 

R 

E 

S 

P 

u 

B 

L 

I 

C 

A 

Z 

Y 

T 

V 

WD 

F 

G 

H 

J 

K 

M 

N 

N 

0 

X 

R 

E 

S 

P 

u 

B 

L 

I 

C 

A 

Z 

Y 

T 

V 

WD 

F 

G 

H 

J 

K 

M 

Q 

0 

0 

X 

R 

E 

S 

P 

u 

B 

L 

I 

C 

A 

Z 

Y 

T 

V 

WD 

F 

G 

H 

J 

K 

M 

Q 

N 

P 

X 

R 

E 

S 

P 

u 

B 

L 

I 

C 

A 

Z 

Y 

T 

V 

WD 

F 

G 

H 

J 

K 

M 

Q 

N 

0 

Q 

R 

E 

S 

P 

u 

B 

L 

I 

C 

A 

Z 

Y 

T 

V 

WD 

F 

G 

H 

J 

K 

M 

Q 

N 

0 

X 

R 

E 

S 

P 

u 

B 

L 

I 

C 

A 

Z 

Y 

T 

V 

WD 

F 

G 

H 

J 

K 

M 

Q 

N 

O 

X 

R 

S 

S 

P 

u 

B 

L 

I 

C 

A 

Z 

Y 

T 

V 

WD 

F 

G 

H 

J 

K 

M 

Q 

N 

O 

X 

R 

E 

T 

P 

u 

B 

L 

I 

C 

A 

Z 

Y 

T 

V 

WD 

F 

G 

H 

J 

K 

M 

Q 

N 

0 

X 

R 

E 

S 

U 

u 

B 

L 

I 

C 

A 

Z 

Y 

T 

V 

WD 

F 

G 

H 

J 

K 

M 

Q 

N 

0 

X 

R 

E 

S 

P 

V 

B 

L 

I 

C 

A 

Z 

Y 

T 

V 

WD 

F 

G 

H 

J 

K 

M 

Q 

N 

0 

X 

R 

E 

S 

P 

u 

w 

L 

I 

C 

A 

Z 

Y 

T 

V 

WD 

F 

G 

H 

J 

K 

M 

Q 

N 

0 

X 

R 

E 

S 

P 

u 

B 

X 

I 

C 

A 

Z 

Y 

T 

V 

WD 

F 

G 

H 

J 

K 

M 

Q 

N 

0 

X 

R 

E 

S 

P 

u 

B 

L 

Y 

C 

A 

Z 

Y 

T 

V 

WD 

F 

G 

H 

J 

K 

M 

Q 

N 

0 

X 

R 

E 

S 

P 

u 

B 

L 

I 

Z 

A 

Z 

Y 

T 

V 

WD 

F 

G 

H 

J 

K 

M 

Q 

N 

0 

X 

R 

E 

S 

P 

u 

B 

L 

I 

C 


Tabelle 23. Chiffriertabelle zum Beispiel von Kerckhoffs 


Der Klartext lautet: “Le general Wolseley telegraphie d’Ismailia qu’il attend 
seulement que le Service de transports et de communication soit completement 
organise pour faire une nouvelle marche en v...”. 

Zusammenfassend, die symetrie de position erlaubt “to extort more plaintext 
from a paucity of ciphertext” ( David Kahn ). 

18.5.2 Der Flame Auguste Kerckhoffs (er hieß mit vollen Vornamen Jean- 
Guillaume-Hubert-Victor-Franqois-Alexandre) wurde am 19. Januar 1835 in 
Nuth bei Limburg geboren. Er ging nahe Aachen zur Schule, studierte nach 
einem Englandaufenthalt in Lüttich, wurde Lehrer für moderne Sprachen und 
arbeitete als Reisesekretär, um sich schließlich in Melun, südöstlich Paris nie¬ 
derzulassen. Er wurde als etwas exzentrischer Mensch mit seiner Schulklasse 
nicht immer fertig, schlug sich aber wacker in philologischen Zirkeln. 1873 
wurde er französischer Staatsbürger, 1873 bis 1876 studierte er an den Univer¬ 
sitäten Bonn und Tübingen und promovierte. Nach einigen Umwegen bekam 
er 1878 eine Professur für deutsche Sprache an der Ecole des Hautes Etudes 
Commerciales und an der Ecole Arago zu Paris. 1892 schrieb er den Arti¬ 
kel La cryptographie militaire — wann, wo und wie er seine Vorstudien dazu 
durchführte, ist nicht bekannt. Der Beitrag von 64 Seiten im Journal des 
Sciences militaires vom Januar und vom Februar 1883 und der von Kasiski 
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sind jedenfalls die wichtigsten wissenschaftlichen kryptologischen Arbeiten 
des 19. Jahrhunderts. 

Auguste Kerckhoffs wurde aber nicht wegen dieser Leistung weltberühmt, 
sondern wegen seines Eintretens für die Welthilfssprache VOLAPÜK, die um 
1879 von Johann Martin Schleyer ersonnen worden war. Kerckhoffs wurde auf 
dem 2. VOLAPÜK-Weltkongreß in München 1887 zum Dilekel (,Direktor 4 ) 
der Internationalen VOLAPÜK-Akademie ausgerufen. VOLAPÜK war eine 
Weile in Frankreich sehr geschätzt; wie ESPERANTO ( Ludwig Zamenhof 
1887) oder das von Giuseppe Peano 1903 vorgeschlagene INTERLINGUA 
hat es sich nicht durchsetzen können. Kerckhoffs erlebte den Niedergang des 
VOLAPÜK und starb als gebrochener Mann am 9. August 1903 in seinem 
Schweizer Urlaubsort. 

18.5.3 Selbstverständlich ist die symetrie de Position auch bei einer 
VIGENERE-Chiffrierung von Nutzen. Wir zeigen dies am Beispiel des Ge¬ 
heimtextes von G. W.Kulp (Abb. 115). Wir wollen jedoch zunächst nur an¬ 
nehmen, daß eine ALBERTI-Chiffrierung vorliegt, und daß einiges für die Pe¬ 
riode 12 spricht. Dann gehen wir von einer Kolonnenbildung wie in Abb. 128 
aus: 


(1) 

(2) 

(3) 

(4) 

(0 

(6) 

(Ü 

(8) 

(9) 

(10) 

(11) 

(12) 

G 

E 

I 

E 

I 

A 

S 

G 

D 

X 

V 

Z 

I 

J 

Q 

L 

M 

W 

L 

A 

A 

M 

X 

z 

Y 

Z 

M 

L 

W 

H 

F 

Z 

E 

K 

E 

J 

L 

V 

D 

X 

W 

K 

W 

K 

E 

T 

X 

L 

B 

R 

A 

T 

Q 

H 

L 

B 

M 

X 

A 

A 

N 

U 

B 

A 

I 

V 

S 

M 

U 

K 

H 

S 

S 

P 

W 

N 

V 

L 

w 

K 

A 

G 

H 

G 

N 

U 

M 

K 

w 

D 

L 

N 

R 

W 

E 

Q 

J 

N 

X 

X 

V 

V 

0 

A 

E 

G 

E 

u 

W 

B 

Z 

w 

M 

Q 

Y 

M 

0 

M 

L 

w 

X 

N 

B 

X 

M 

w 

A 

L 

P 

N 

F 

D 

c 

F 

P 

X 

H 

w 

Z 

K 

E 

X 

H 

s 

s 

F 

X 

K 

I 

Y 

A 

H 

U 

L 

M 

K 

N 

U 

M 

Y 

E 

X 

D 

M 

W 

B 

X 

Z 

s 

B 

C 

H 

V 

W 

Z 

X 

P 

H 

w 

L 

G 

N 

A 

M 

I 

u 

K 







und stellen fest, daß die in einer einzelnen Kolonne vor kommenden Chiffren 
häufig die Abstände 4 oder 7 oder 11 haben. Tatsächlich finden sich 
sogar sechs Tripel mit diesen drei Abständen: 

(3) (4) (6) (7) (10) (12) 

B M W L M L 

+7 

I T D S T S 

+4 

M X H W X W 
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Dieser Befund deutet auch bereits daraufhin, daß die 4. und die 10. Kolonne, 
sowie die 7. und die 12. Kolonne dem gleichen Schlüssel unterliegen. 

Bei einem systematisch Vorgehen bildet man in jeder Kolonne paarweise die 
Differenzen zwischen den Chiffren und trägt sie in eine Tabelle ein. Diese 
,Differenzenmethode‘ ist nur eine Variante der symetrie de position. Sie liefert 
in unserem Fall ein Vorherrschen der Werte 4, 7, 11 (sowie der Komplemente 
22, 19, 15) und damit einige weitere Fälle des Vorkommens der Differenzen 
4 oder 7 oder 11. Es gibt auch „falsche“ Differenzen: etwa in der 3. Spalte M 
und X. 

Nun trägt man auch in den oben fehlenden Kolonnen diese Vorkommnisse 
noch ein: 


(1) (2) (3) (4) (5) (6) (7) (8) (9) (10) (11) (12) 

N BM WLM MXL 

+7 

NITEDS ATES 

+4 

YRMXIHWXEX W 

(Verschiebung) 0 1 9 14 25 1 0 9 24 2 5 6 25 1 0 24 


Die zur Deckung notwendigen Verschiebungen der einzelnen Kolonnen gegen 
die erste sind in einer Fußzeile eingetragen, sie ergeben einen Schlüssel. Den 
reduzierten, monoalphabetisch chiffrierten Zwischentext erhält man durch 
Subtraktion dieses Schlüssels, sein Anfang lautet demnach 


G 

L 

U 

F 

Y 

R 

U 

H 

X 

Y 

L 

B 

I 

Q 

C 

M 

C 

N 

N 

B 

U 

N 

N 

B 

Y 

G 

Y 

M 

M 

Y 

H 

A 

Y 

L 

U 

L 

L 

C 

P 

Y 

M 

B 

Y 

L 

Y 

U 

N 

N 


Die Entzifferung durch eine Häufigkeitsanalyse bietet kein Problem mehr, 
die Chiffrierung des Zwischentextes stellt sich, was wir bisher gar nicht aus¬ 
genützt haben, als eine CAESAR-Addition heraus mit U = a ; die Dechif¬ 
frierung erfolgt durch Weiterzählen um 6 . Der Anfang des Klartextes lautet 
also (s. a. 18.1.2) 


m r a 1 
o w i s 
e m e s 
r i v e 


e x a n 
i t t h 
seng 
s h e r 


d e r h 
a t t h 
e r a r 
e a t t 


Die Differenzenmethode, die hier angeklungen ist, wird bei der Entzifferung 
von überchiffriertem Code im nächsten Abschnitt eine Rolle spielen. Sie ist 
von Häufigkeitsanalysen völlig frei. Würde man Häufigkeitsbetrachtungen 
bereits in die symetrie de position einbeziehen, so könnte man mutmaßen, 
daß in den obigen Tripeln die letzte Zeile, die am besten besetzt ist, dem 
je/ entspricht und damit die erste Zeile dem /1/, die zweite dem /a/. Letz¬ 
teres klärt auch auf, warum oben bereits das Schlüsselwort UNITEDSTATES 
durchschimmert. 
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18.6 Abstreifen einer Überchiffrierung: 
Differenzenmethode 

Wir knüpfen an 18.3 an. Das gegenseitige Zurechtrücken begleitender Al¬ 
phabete nimmt auf den Klartext gar keinen Bezug; er wird erst aus dem 
monoalphabetisch chiffrierten, hypothetischen Zwischentext (vgl. 18.4) wie¬ 
dergewonnen. ALBERTI-Schritte sind nämlich Zusammensetzungen (9.1.1): 
monoalphabetische funktionale einfache Substitution, gefolgt von polyalpha¬ 
betischen VIGENERE-Schritten. 

18 . 6.1 Damit ist die Technik von 18.3 auch für überchiffrierten Code brauch¬ 
bar, also für eine Komposition (9.2.1) von Codierung und nachfolgendem 
VIGENERE über Z 26 (Buchstabencode) oder Z 10 (Zifferncode). Letzteres 
hieß im englischen Jargon u stripping off a numerical additive from enciphe- 
red code” (‘ encicode ’, der aus dem Codebuch geholte Code ist ‘plain code’ 
oder 4 placode ’); bei den deutschen Diensten sprach man von der „Subtraktion 
einer Uberschlüsselungszahl“. 

Unter der Annahme einer gewissen Codelänge, beispielsweise 5 und einer ge¬ 
wissen Periode, beispielsweise 15, werden wieder Kolonnen von gleich über¬ 
chiffrierten Codewörtern gebildet (,Latten 4 ). Häufig vorkommende Klartext¬ 
wörter oder -phrasen führen in jeder dieser Latten zu Häufigkeitsunterschie¬ 
den, bei genügend Material heben sich in jeder Latte gewisse Codegruppen 
heraus. Die reine Häufigkeitsuntersuchung, etwa durch Bildung von gegensei¬ 
tigen Chi , mag erfolgreich sein; oft wird sie aber kein gegenseitiges Durch¬ 
decken zustande bringen. 

18 . 6.2 Die symetrie de Position hilft jedoch häufig weiter. Die sich in jeder 
Latte heraushebenden Codegruppen gehören genau dann zum selben Pla¬ 
code, wenn ihre Differenz modulo Z 10 die Differenz der zu den betreffenden 
Latten gehörenden Uberschlüsselungszahlen ergibt. Differenzen sind nach 
Shannon die ‘residue classes’ der linearen polygraphischen Substitutionen. 
Heben sich etwa in den ersten drei Latten die Codegruppen 

(1) (2) (3) 

47965 60597 27904 
69451 34689 41537 
11057 10056 26443 

heraus, und gehören 47965 und 60597 zum selben placode , so gehören 
auch 11057 und 34689 zum selben placode , denn 
47965 - 11057 = 60597-34689 = 36918 modulo Z 5 10 . 

Um solche Übereinstimmungen systematisch zu finden, bildet man für jede 
Latte die 3 x 3-Matrix der gegenseitigen Differenzen und findet auch 24633 : 

(1) (2) (3) 

00000 88514 36918 00000 36918 50541 00000 86477 25194 

22596 00000 58404 74192 00000 24633 24633 00000 01561 

74192 52606 00000 50569 86477 00000 85916 09549 00000 
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Es besteht also auch zwischen der zweiten und der dritten Latte die Bezie- 
hung modulo Z 10 

34689 - 10056 = 41537 - 27904 = 24633 . 

Es ist ferner modulo Z 10 

47965 - 60597 = 87478 und 11057 - 34689 = 87478 , sowie 
34689 - 41537 = 93152 und 10056 - 27904 = 93152 . 

Reduziert man die zweite Latte relativ zur ersten, indem man überall die 
Differenz 87478 addiert, und die dritte Latte relativ zur zweiten, indem 
man überall die Differenzen 87478+93152=70520 addiert, so ergibt sich 

(!’) (2’) (3’) 

47965 47965 97424 
69451 11057 11057 
11057 97424 96963 

(Verschiebung) 0 87478 70520 

Nunmehr sucht man in der ersten Latte nach Vorkommen — wenn auch 
seltener — von 97424 , ebenso in der (reduzierten) dritten Latte nach Vor¬ 
kommen von 47965 ; im übrigen nach Vorkommen von 69451,97424,96963 . 
Im günstigsten Fall kann man so einige weitere gemeinsam vorkommende pla- 
code s „entdecken“. 

18 . 6.3 Dieses Vorgehen erfordert umfangreiche rechnerische Arbeit, und es ist 
verständlich, daß man schon in den zwanziger Jahren des 20. Jhs. maschinelle 
Unterstützung für das Durchdecken suchte. Damals boten sich Lochkarten¬ 
anlagen an, und insbesondere im 2. Weltkrieg setzten Briten (J. Tiltman, Sept. 
1939), Amerikaner (R. J. Fabian, Nov. 1940) und Deutsche auf solche Hilfen. 
Es wurden auch Spezialgeräte gebaut, so in der Chiffrierabteilung des Ober¬ 
kommandos der Wehrmacht. Das „Differenzenrechengerät“ verarbeitete die 
auf Lochstreifen gestanzten Codegruppen über mechanische Abtaster und Re¬ 
laisschaltungen; es lieferte pro Sekunde 7 Differenzenbildungen fünfstelliger 
Codegruppen und registrierte sie über eine Schreibmaschine. Es war damit 
fünf- bis zehnmal schneller als ein menschlicher Aus werter in der Spitze. 

Zur Feststellung der am häufigsten auftretenden placodes wurden sowohl in 
der Abteilung Chi des Oberkommandos der Wehrmacht wie im Sonderdienst 
Dahlem des Auswärtigen Amtes mit Lichtmessung arbeitende Analoggeräte 
(für Tetragramme) eingesetzt. Auch für die Reduktion, die Subtraktion einer 
Konstanten von allen Codegruppen einer Latte bei bereits bekannter relati¬ 
ver Basis, wurden während des 2. Weltkriegs von Ernst Witt Spezialgeräte 
gebaut, die optisch arbeiteten. 

Uber einschlägige Spezialgeräte bei den Allierten des 2. Weltkriegs ist wenig 
bekannt. Die in Bletchley Park gebauten, angeblich speziell gegen die Fern- 
schreib-Chiffriermaschine SZ 42 (,Schlüsselzusatz‘) von LORENZ (Deckname 
TUNNY) gerichteten und einigermaßen universellen Geräte wie HEATH RO¬ 
BINSON und COLOSSUS behandelten, könnte man sagen, binäre Additive. 
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In den USA hat es, wenn man Burke folgt, bis Kriegsende keine dem bri¬ 
tischen COLOSSUS vergleichbare erfolgreiche Entwicklung gegeben. Auf 
der Stufe von HEATH ROBINSON standen die mit photoelektrischer Ab¬ 
tastung arbeitenden Geräte COPPERHEAD von 1943, die gegen japanische 
überchiffrierte Codes gerichtet waren. Am ehesten mit der deutschen Ent¬ 
wicklung zu vergleichen ist ein von Eastman für die Navy gebautes, mit Licht¬ 
messung arbeitendes Gerät von 1942 (genannt TESSIE), das zum Auffinden 
von bestimmten vierstelligen Codegruppen (Tetragrammen) zwecks Abstrei¬ 
fen einer Überchiffrierung diente und sowohl gegen japanische Flottencodes 
wie gegen das deutsche „Kurzsignalbuch“ gerichtet war, dessen Entzifferung 
vorzügliche ‘cribs’ für die Entzifferung der ENIGMA lieferte. 

18.7 Entziffern des Codes 

Schlußendlich verbleibt natürlich das Entziffern des nach dem Abstreifen der 
Überchiffrierung erhaltenen Zwischentextes, die Rekonstruktion des Codes 
(engl, book-building ). Er ist gegenüber dem placode um eine Konstante 
verschoben, aber das spielt für die aufzubringende, hauptsächlich philologi¬ 
sche Arbeit keine Rolle. Die Arbeit wird sehr erleichtert, wenn es sich um 
einen einteiligen Code (4.4.2) handelt. Dann liegt nämlich für ein Code¬ 
wort, das lexikographisch zwischen zwei Codewörtern mit schon festgestell¬ 
ten Klartextwörtern liegt, das zugehörige Klartextwort zwischen diesen zwei 
Klartextwörtern. Im übrigen hat hier die Phantasie, noch mehr aber auch 
die Gestalterkennung, ein reiches Betätigungsfeld. 

Um eine systematische Behandlung der philologischen Entzifferung von Codes 
hat sich erstmals (1892) Paul Louis Eugene Valerio bemüht. 

18.8 Rekonstruktion des Kennwortes 

Der Vorteil begleitender Alphabete, daß sie sich aus einem einzigen Referenz¬ 
alphabet ergeben, würde dem „eiligen“ Chiffrierer wenig nützen, wenn er 
sich nicht auch das Referenzalphabet leicht merken oder ableiten kann. Dazu 
dienen (vgl. 3.2.5) Kennwörter oder -sätze. Sie wiederzufinden, gibt dem un¬ 
berufenen Entzifferer nicht nur zusätzliche Sicherheit, sondern kann metho¬ 
disch genutzt werden — Merkwörter, also „memorierbare“ Kennwörter, sind 
eine Schwachstelle. 

18.8.1 Zunächst wie ein Zaubertrick mutet folgendes Beispiel von Friedman 
(1917) an: Das Referenzalphabet sei 

abcdefghij kl mnopqrstuvwxyz 
NTUVPWXJ FYZDKQCABOGRLI SHME 

es ist zyklisch mit dem Zyklus 

(anqbtroculdvifwsgxhjymkzep) 
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Man bildet nun — etwa von a ausgehend — die Potenzen der Substitution N 
QBTROCULDVIF...EPA und schreibt, zyklisch geschlossen, Folgen 
mit Abständen von 1, von 3, von 5, usw., also 

NQBTROCULDVI FWSGX... , 

n **q** b ** x ** r **0*... , 

N ****Q****ß**** T *_ ? 

Das ergibt insgesamt 

1 NQBTROCULDVI FWS GXHJ YMKZ EPA ; 

3 NDJQVYBI MTFKRWZ OS PCGEUXAL H ; 

5 NKXI CQZHFUBPJ WLTEYS DRAMGVO ; 

7 NGRYLPFQXOMDEWBHCKVAS TJ UZI 
9 NTCDFGJ KP QRUVWXYZ ABÖL I SHME USW. 

und liefert beim Abstand 9 eine Folge, die bereits ein Kennwort erscheinen 
läßt. Nimmt man nun klartextseitig die um neun Plätze nach rechts verscho¬ 
bene Folge, so ergibt sich folgende Substitution: 

abol i shmentcdf gj kpqruvwxyz 
9 NTCDFGJ KPQRUVWXYZABOLI SHME . 

Man erhält durch Umordnung das obenstehende Ausgangsalphabet, das tat¬ 
sächlich gewonnen worden ist durch neunfache Potenzierung eines Zyklus mit 
dem memorierbaren Kennwort a bolishment: 

( abol i s hment cdf gj kpqr uvwxyz) 

Der Zaubertrick wird verständlicher, wenn man bedenkt, daß auch für die 
anderen Abstände sich solcherart ein Alphabet ergibt, aus dem man das 
Ausgangsalphabet durch Umordnung zurückerhält; etwa für den Abstand 7 

astj uzi ngryl ef qxomdpwbhckv 
7 NGRYLEFQXOMDPWBHCKVAS TJ UZI 

wobei zwar kein vernünftiges Kennwort auftaucht; oder mit dem Abstand 1: 

anqbtrocul dvi f wsgxhj ymkzep 
1 NQBTROCULDVI FWS GXHJ YMKZEPA . 

Tatsächlich rekonstruiert die dritte Potenz dieser Substitution das Kennwort, 
da 3x9 = 1 modulo 26 . 

18.8.2 W.F. Friedman hat auch angegeben (1918), wie man für den sehr all¬ 
gemeinen Fall (3.2.5) eines mittels Kennwörtern für die Klartext- und für die 
Geheimtext-Seite konstruierten ALBERTI-Chiffriersystems die Kennwörter 
wiederauffinden kann. Wir werden darauf in 19.5.3 zurückkommen. 
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“The quality of a machine 
depends largely on its use. ” 

Boris Hagelin 

Unter den im 11. Kapitel aufgeführten Chiffrierfehlern gehören Kompromit¬ 
tierungen zu den schlimmsten, denn sie eröffnen sogar methodische Angriffs¬ 
möglichkeiten. Die Klartext-Geheimtext-Kompromittierung wurde schon in 
14.6 diskutiert. Nunmehr sollen die weniger auffälligen Fälle der Klartext- 
Klartext-Kompromittierung und der Geheimtext-Geheimtext-Kompromittie- 
rung behandelt werden. 

19.1 Kerckhoffs’ Superimposition 

Polyalphabetische Chiffrierung mit periodischem Schlüssel bietet — selbst 
bei unbekannten unabhängigen Alphabeten — keine Sicherheit gegen unbe¬ 
fugte Entzifferung: Die Periode ist nach den Methoden des 16. Kapitels fest¬ 
stellbar, und dies erlaubt die Bildung von Kolonnen oder Latten jeweils mo¬ 
noalphabetisch chiffrierten Textes — allerdings zerrissenen Textes, der nur 
mit der Einzelzeichenhäufigkeit (Kapitel 15) angepackt werden kann, und oft 
zu kurz ist, wie schon in 18.2.5 und 18.3.2 angesprochen wurde. 

Aber auch wenn der Schlüssel nicht periodisch ist, oder jedenfalls so lang, 
daß er länger ist als die Nachricht, besteht die gleiche Einbruchsmöglichkeit, 
sofern mehrere Klartexte mit dem selben Schlüssel chiffriert werden: Diese 
Klartext-Klartext-Kompromittierung des Schlüssels erlaubt bei phasen¬ 
richtiger Überlagerung (Superimposition) ebenfalls die Bildung von 
Kolonnen oder ,Latten‘ jeweils monoalphabetisch chiffrierten, zerrissenen 
Textes („Tiefe des Materials“, engl /building of a depth ’). Kerckhoffs be¬ 
schäftigte sich 1883 in seiner schon für die symetrie de position genannten 
Arbeit mit diesem Fall (frz. superimposition , engl, superimposition ). Selbst¬ 
verständlich ist die Superimposition nur brauchbar, wenn genügend viele 
Nachrichten betroffen sind, aber dies ist gerade beim Einsatz von Chiffrierma¬ 
schinen häufig genug der Fall: logistische Probleme der Schlüsselzuweisung 
und -Verwaltung führen dazu. John H. Tiltman gelang es, auf diese Weise 
die von der Deutschen Reichsbahn im 2. Weltkrieg zur Übermittlung von 
Fahrplänen benutzte ältere ENIGMA ohne Steckerbrett (Reichsbahn-ENIG- 
MA, britischer Deckname rocket ) zu brechen. 
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Klar ist, daß auch die periodische Verwendung eines kurzen Schlüssels, die zu 
mehrmaliger Wiederholung führt, eine Klartext-Klartext-Kompromittierung 
darstellt — weil das aber recht üblich war, hat man es selten so genannt. 
Anders gesagt: Technisch ist die Anordnung eines periodisch chiffrierten 
Geheimtextes in Kolonnen nach der Periode, die Kasiski schon angepriesen 
hatte, ebenfalls eine phasenrichtige Überlagerung, eine Superimposition. 

19 . 1.1 Kerckhoffs gibt folgendes einfaches (und recht günstig gelagertes) Bei¬ 
spiel einer Superimposition von dreizehn chiffrierten Texten (Chiffrierfehler, 
die ihm unterlaufen sind, sind bereinigt) 
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(iv) 
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Er beginnt mit Feststellungen wie, daß der Häufigkeit nach vermutlich 
H (2) = e> ff (4) = e , R^ = e, H& = e, I^ = e, L< 9 > = e, C^ 10 ) = e, 
und daß somit vermutlich die zweite, vierte und sechste Stelle dem selben 
Alphabet unterliegen (klugerweise nimmt er nicht = e an). 

Die vierte Nachricht hätte dann die Entzifferung (iv) ****eee**. , was 

nach einem Wort suchen läßt, das mit ee endet; 1’ armee wäre passend: 

(iv) larmeee**. Die fünfte Nachricht mit (v) le*e*e***. läßt auf 

(v) legeneral. schließen. Die sechste Nachricht bietet dann bereits 

(vi) *ere*v*** , was (vi) serezvous oder (vi) ferezvous sein 

könnte. Die siebte Nachricht mit 

(vii) *erenvo*e*. deutet Kerckhoffs einigermaßen überzeugend mit 

(vii) nerenvoyez. Dann wendet er sich den weiteren Nachrichten zu. 

Superimposition ist als methodische Idee auch für den Fall unabhängiger Al¬ 
phabete geeignet. Sofern die Anzahl verwendeter verschiedener Alphabete 
nicht über gute zwei Dutzend hinausgeht, etwa bei Bezeichnung durch Buch¬ 
staben, kommen bei nicht allzukurzen Nachrichten jeweils mehrere dieser 
Alphabete vor, die sich durch gleiche Häufigkeitsmerkmale verraten; die ef¬ 
fektive Tiefe des Materials wird dadurch vervielfacht. Stammt der Schlüssel 
aus einem Text etwa in deutscher Sprache, so ist im Durchschnitt jedes 
sechste Schlüsselzeichen ein E und damit jedes sechste Alphabet das selbe. 
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19.1.2 Im vorliegenden Fall würde die Entzifferung trotzdem weiterhin mü¬ 
hevolle philologische Kleinarbeit sein, würde Kerckhoffs nicht die zusätzliche 
Annahme machen, daß die Alphabete nur gegenseitig verschoben sind und 
daß die symetrie de position , der Kernpunkt seiner Arbeit, herangezogen wer¬ 
den kann. Damit läuft dann alles wie am Schnürchen; einige der entzifferten 
Nachrichten (das Umfeld ist Nordafrika) lauten: 


(i) leprefetdepoliceestici 

(ii) lespertesdelennemisontgrandes 

(iii) onsemetsurladefensive 

(iv) larmeeestentreeaucaire 

(v) legeneralestaalexandrie 

(vi) serezvousenetatderesister 

(vii) nerenvoyezpaslesprisonniers 


^le prefet de police est ici » 

^les pertes de V ennemi sont grandes » 
^on se met sur la defensive » 

^r armee est entree au Caire » 

«Ze general est ä Alexandrien 
^serez vous en etat de resistern 
^ne renvoyez pas les prisonniersn . 


Es stellt sich heraus, daß Kerckhoffs dabei das gleiche ALBERTI-Alphabet 
verwendet wie in 18.5.1; der Schlüssel ist periodisch und läßt sich mit der 
Chiffriertabelle von Tabelle 23 rekonstruieren zu 


JEMEMETSSURLADEFENSIVE . 


19.2 Superimposition für Chiffrierungen 
mit einer Schlüsselgruppe 

Selbst der (von Kerckhoffs nicht behandelte) Extremfall einer Superimposi¬ 
tion von nur zwei Chiffraten, die mit dem selben Schlüssel erzielt wurden, ist 
unter günstigen Umständen nicht hoffnungslos. 

19 . 2.1 Es sei angenommen, das Chiffrierschritt-System sei nicht nur injektiv 
und definal, d.h. zu jedem Chiffrierschritt : V^ existiert 

ein Dechiffrierschritt xf 1 • : 

(*) X7 1 (Xs(p))=P für alle peV^ n \ 

sondern der Einfachheit halber auch (2.6.2) eindeutig und surjektiv: 

(**) Xs(x7 1 ( c )) = c für alle ceW^ . 

Dann ist |U( n )| = . In diesem Fall liegt es nahe, Klartextzeichen und 

Geheimtextzeichen zu identifizieren, also n = m , V = W zu setzen, und den 
endomorphen Fall : V n -<— V n anzunehmen. M C V n x V n sei das 
Chiffrierschritt-System, \V\ sei N . M ist auch die Schlüsselmenge, wenn die 
Abbildung der Schlüsselmenge auf die Chiffrierschritte (2.6) injektiv ist. 

Wichtig ist nun die Annahme, das Chiffrierschritt-System M sei abge¬ 
schlossen: Die Zusammensetzung zweier Chiffrierschritte G M, Xt € M 
gehöre wieder der Menge M an: Xs(Xt(p)) — Xs*t(p) , wodurch s • t eindeutig 
definiert ist. 
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Die Zusammensetzung ist assoziativ: Xvs(xt(p )) = Xr(Xs»t(p)) - Da auch 
jeder Chiffrierschritt ein Inverses x^ 1 C M besitzt, bilden die Chiffrierschritte 
eine Gruppe, die Schlüsselgruppe M. y s -i(p) ist durch X^ip) definiert. 
Die Gruppe kann trivialerweise einelementig sein: M = {id} , sie kann auch 
N n Elemente besitzen, etwa M — {id, y, X 2 ,X 3 , • • • X^™ -1 ? } , wo x zyklisch 
ist; oder gar (maximal) (7V n )! Elemente haben: M = V n -< — V n . 

Nun seien c' = (c^, c' 2 , Cg,...) und c" = (c'{, c 2 , Cg,...) zwei Geheimtexte, die 
aus den zwei Klartexten p f = (p'^pj^pg, • • •) und p" = (Pi?P 2 ?P 3 ? • • •) m ff 
dem selben Schlüssel k — (fei, k<i, fe,...) hervorgegangen sind: 

c 'i = Xkiip'i) , c'! = xM) • 

Es sei weiterhin angenommen, daß die Schlüsselgruppe M transitiv ist 
(14.3.4): Dann existiert ein Zeichen a £ V n derart, daß für jedes Zeichen 
y E V n ein Chiffrierschritt Xt ^ M existiert mit y = Xt( a )- Damit ist 
auch die Anzahl der Schlüssel nicht kleiner als die Mächtigkeit des Alpha¬ 
bets V n , \M\ > A^ n , und es kann jedem Zeichen aus V n injektiv ein 
Schlüssel — vielleicht auch mehrere — zugeordnet werden. 

Handelt es sich gar um ein Shannonsches Chiffrierschritt-System (2.6.4), so 
ist der Schlüssel ki durch das Klartextzeichen pi und das Geheimtextzeichen 
Ci eindeutig bestimmt; 1 es ist \M\ < N n und damit \M\ = N n . 

Die obige Zuordnung ist somit eineindeutig; wir haben ein transitives Shan¬ 
nonsches ChifFrierschritt-System mit einem lateinischen Quadrat als 
Chiffriertabelle. Eine Identifizierung der Schlüssel und der Zeichen gemäß 
s = Xsia) ergibt s • t = Xs.t(a) = Xs(Xt{a)) = Xs(t) und somit 
Xs{p) = s»p , Xs.tip) = X Xs (t){p) ■ 

Ferner gilt 

Xs _ i (c) = s - 1 *c = xJ 1 (c)- 

Damit hat es einen Sinn, von > dem mit dem Geheimtextzeichen c' 

als Schlüssel dechiffrierten phasengleichen Geheimtextzeichen c” zu sprechen. 
Eine einfache Rechnung ergibt das wichtige Resultat: Unter den angegebenen 
Bedingungen hebt sich in xf 1 ^'/) der Schlüssel heraus, genauer: es ist 

U(c"Hx p ->") ■ 

l r i 

19.2.2 Für endomorphe Shannonsche Chiffrierungen mit einer transitiven 
Schlüsselgruppe bildet man also die Differenz di = xf 1 ^) und sucht zwei 

i 

Klartexte p- ,p-' mit Xp^iPi) — di • Dies kann in einem Zick-Zack-Wechsel¬ 
spiel wie in (14.4.3) versucht werden; Eindeutigkeit erfordert zwei Klartexte, 
deren jeder eine Redundanz (12.6, Fußnote 8) von mindestens 50% hat. 

Im allgemeinen braucht der Schlüssel ki durch Pi und q gar nicht eindeutig bestimmt 
zu sein. Allerdings kann man ihn im extremen Fall V = Z 2 , n = 1 allein schon 
aus den einzelnen c % — XkiiPi) rekonstruieren: Es gibt in diesem Falle nur die zwei 
Chiffrierschritte (8.3.1) der Identität O und der Involution L ; für pi = ci ist ki = O, 
für pi ^ Ci ist ki = L . 


1 
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Bilden die Chiffrierschritte bezüglich der Zusammensetzung sogar eine kom¬ 
mutative Gruppe, so haben wir die Kerckhoffssche syrnetrie de position 

Xs(t) = Xt(s ) • 

Für endomorphe Chiffrierungen mit einer kommutativen Schlüsselgruppe ist 
durch p' und d der Schlüssel k bereits eindeutig bestimmt: 

Mit c- = XkiiPi) ist auch c' = Xpföi) und damit ki = x“, 1 ^'). Die Shan- 
nonsche Eigenschaft gilt somit. (Ist also \M\> N n , so ist die Schlüsselgruppe 
nicht kommutativ. Solche Schlüsselgruppen werden wir in (19.2.4) finden). 

Überdies gilt wegen Xpfäi) = Pi auch XdXp'i) = p” • p" ergibt sich also aus 
Pi durch Chiffrierung mit di in der Rolle des Schlüssels. 

Zu jeder Schlüsselgruppe gibt es eine Menge dualer Chiffrierschritte {x s }, 
Xs{p)=s»p~ 1 , Xs\c)=c~ 1 »s und x s . t -i(p) = X*„(t)(p) ■ 

Nunmehr gilt Xp(<'”) = Xp"{Pi)- Fn Falle einer kommutativen Schlüssel- 
gruppe ist die duale Chiffrierung involutorisch: Xj\l) = Xs(t) • 

19.2.3 Wenn insbesondere (für n — 1) begleitende Alphabete durch eine 
volle zyklische Verschiebung eines Referenzalphabets von N Zeichen entste¬ 
hen, so fällt die Anzahl der Schlüssel mit der Anzahl der Zeichen zusammen; 
es ergibt sich eine Schlüsselgruppe, die kommutativ ist, nämlich die zykli¬ 
sche Gruppe Cn der Ordnung N. Für VIGENERE-Chiffrierschritte trifft 
dies zu; mit der Addition modulo N als Modell, dual für BEAUFORT- 
Chiffrierschritte, wie sie in der M-209 von Boris Hagelin gebraucht werden. 
Hier sind die Referenzalphabete von vornherein bekannt. 
ALBERTI-Chiffrierung kann ebenso behandelt werden, wenn die Definition 
der Differenz geeignet modifiziert wird. So entsteht die von Kerckhoffs ver¬ 
wendete Chiffriertabelle (18.5.1, Tabelle 23) durch Verschiebungen p l eines 
einzigen Chiffrierschritts mit dem Referenzalphabet 

p . abcdefghij kl mnopqrstuvwxyz 

ZYTVWDFGHJ KMQNOXRES PUBLI CA ’ 

es ist A = p°P , B = p l P , C — p 2 P , D = p 3 P, ... , Z = p 25 P . 

Daß das permutierte Alphabet P bekannt ist, darf angenommen werden 
etwa weil eine Alberti -Scheibe in Feindeshand gefallen ist. 

Es seien nun die schon in 19.1 untersuchten Geheimtexte (i) und (ii) nochmals 
betrachtet. Bildet man zu c" = f (ii) und d = f (i) die P-modifizierte Differenz 
di = Xp-i c '(P~ lc i) ^ so bedeutet di = p 6i P , daß man im bekannten per- 

i 

mutierten Alphabet P Si Schritte weiterzählen muß, um von d( zu c' zu 
gelangen. Es ergibt sich 

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 

c" UHWPR BQLK I B LWRE JRBKL HI 

d UHYBRJIMBC FAMMF JHDMR IQ 

d aaxca olplb ldhvp askbu pp 

5 0 0 23 2 0 14111511 1 11 3 7 2115 0 1810 1 20 1515 
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Nunmehr ist di = x~p-i — Xp-i '{P~ 1 Pi) 5 das bekannte d kann 

als Geheimtext aufgefaßt werden, der unter x -1 mit P~ 1 p' als (unbekann¬ 
tem) Schlüssel aus P~ l p" als (unbekanntem) Klartext entstanden ist. Durch 
diesen Rollenwechsel sind alle Möglichkeiten des Angriffs mit Häufigkeits¬ 
untersuchungen und Mustererkennungen gegeben. 

Beispielsweise bedeutet di — a (das für i = 1,2,5,16 auftritt) Überein¬ 
stimmung von p[ und p" . Sie wird am häufigsten (im Französischen mit 
etwa 30%) für p\ — p" — /e/ erfolgen, während p\ — p" = /a/ und 
Pi — Pi = /s/ nur mit je etwa 10% auftreten. (Tatsächlich wäre die kühne 
Annahme /e/ für i = 2,5,16 erfüllt, während /l/ für i = 1 auftritt.) Die 
Methode des wahrscheinlichen Worts ist wohl — sofern geeignete Informatio¬ 
nen vorliegen — unbedingt angebracht. In unserem Fall kann, den von Kerck- 
hoffs geschilderten Umständen zufolge, die französische Sprache angenommen 
und ennemi als wahrscheinliches Wort herangezogen werden. Zu prüfen ist, 
ob einer möglichen Lage von ennemi in p" ein sinnvolles französisches Wort 
in p f entspricht (oder umgekehrt). Die folgenden sukzessiven Versuche 


v" 

1 

2 3 4 5 

6 7 8 9 


1 

2 3 4 5 

6 7 8 9 

e 

n n e m 

i * * * 

p 

* 

* e n n 

e m i * 

d 

a 

a x c a 

0 1 p 1 

d 

a 

a x c a 

o 1 p 1 

8 

0 

0 23 2 0 

14111511 

8 

0 

0 23 2 0 

14111511 

v' 

e 

n k g m 

w * * * 

P 1 

* 

* b p n 

S X X * 


i 

2 3 4 5 

6 7 8 9 

P" 

i 

2 3 4 5 

6 7 8 9 

P" 

* 

e n n e 

m i * * 

* 

* * e n 

n e m i 

d 

a 

a x c a 

o 1 p 1 

d 

a 

a x c a 

O 1 p 1 

8 

0 

0 23 2 0 

14111511 

8 

0 

0 23 2 0 

14111511 

P' 

* 

e k p e 

a t * * 

p' 

* 

* * g n 

b p b t 


führen zunächst zu nichts, erst (und einzig) in der dreizehnten Lage 


1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 

p n ***** ***** **enn e m i * * ** 

d aaxca olplb ldhvp askbu pp 
5 0 0 23 2 0 14111511 1 11 3 7 2115 0 1810 1 20 1515 

p f ***** ***** * * 1 i c e e s * * ** 

entsteht mit /licees/ etwas Brauchbares, das vernünftig zu /police est/ fortge¬ 
setzt werden kann. (Umgekehrt liefert /ennemi/ in p f nichts Brauchbares.) 
Vertauscht man jetzt die Rollen von p f und p" , so entsteht 


1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 

p ***** ***** elenn emis* * * 

d aaxca olplb ldhvp askbu pp 

5 0 0 23 2 0 14111511 1 11 3 7 2115 0 1810 1 20 1515 

p / ***** ***** polic eest* ** 


was eine Ergänzung zu /de V ennemi sont/ nahelegt. Umgekehrt ergibt sich 
wieder 
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1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 

p f ***** * * * * d elenn emiso nt 

d aaxca olplb ldhvp askbu pp 
ö 0 0 23 2 0 14111511 1 11 3 7 2115 0 1810 1 20 1515 

p' ***** * * * * e polic eesti ci 

Auf diese Weise kann ein wahrscheinliches Wort als Keim dienen, von dem 
ausgehend, nach rechts wie auch nach links, im Zick-Zack (vgl. 14.4.3) der eine 
und der andere Klartext stückweise verlängert wird. Die Methode erlaubt 
insbesondere die Heranziehung von Formwörtern, Vorsilben und Endungen, 
die ja ziemlich häufig Vorkommen, etwa /und/, /ein/, /ung/, /bar/, /heit/, 
/unter/ im Deutschen, /and/, /the/, /that/, /which/, /under/, /tion/ im 
Englischen, /les/, /que/, /ion/ im Französischen. In unserem Beispiel kann 
ein neuer Keim weiterführen, mit /les/ ergibt sich aus 


1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 

p les** ****d elenn emiso nt 

d aaxca olplb ldhvp askbu pp 

5 0 0 23 2 0 14111511 1 11 3 7 2115 0 1810 1 20 1515 

p' lep** ****e polic eesti ci 

mit viel Glück vielleicht die Ergänzung /leprefetd/von p' und damit die 
Bestätigung durch die Ergänzung /lespertes/ von p" : 


1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 

p lespe rtesd elenn emiso nt 

d aaxca olplb ldhvp askbu pp 

5 0 0 23 2 0 14111511 1 11 3 7 2115 0 1810 1 20 1515 

p' lepre fetde polic eesti ci 

Damit ist die Entzifferung beider Chiffrate gelungen. Selbstverständlich kann 
nur die Entzifferung des kürzeren zweier solcher Geheimtexte vollständig ge¬ 
lingen. Der Schlüssel wurde dabei überhaupt nicht benützt. Er kann aber 
jetzt rekonstruiert werden: Die Gegenüberstellung von p r und d liefert nach 
der (ohnehin als bekannt vorausgesetzten) Chiffriertabelle wiederum 

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 

c' UHYBR JIMBC F A MM F JHDMR IQ 

p' lepre fetde polic eesti ci 

k JEMEM ETSSU RLADE FENS I VE 

und damit einen verständlichen* Schlüsselsatz. Für den Erfolg dieses Zick- 
Zack-Verfahrens war ausreichend, daß jeder der beiden Klartexte deutlich 
mehr als 50% Redundanz besitzt. 

19 . 2.4 Die eben behandelte, für ALBERTI-Chiffrierschritte und speziell für 
VIGENERE-Chiffrierschritte (dual: BEAUFORT-Chiffrierschritte) typische 
Schlüsselgruppe ist, wie gesagt, die zyklische Gruppe Cn der Ordnung N für 
V — W — ~L n . Sie ist nur ein Beispiel für Gruppen vorgeschriebener Ord¬ 
nung. Für Z 26 ist neben der zyklischen Gruppe C 26 eine weitere kommutative 
Gruppe zu nennen: das direkte Produkt x C 13 der zyklischen Gruppe der 
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Ordnung 2 und der zyklischen Gruppe der Ordnung 13. Man stößt auf sie 
durch eine zwischengeschaltete Codierung Z 26 —xZ 2 x Z 13 . (Eine Menge 
von k PORTA-Chiffrierschritten (vgl. Abb.53 für fc=ll, Abb.69 für fc=10) 
bildet zwar selbst keine Gruppe, erzeugt jedoch durch Zusammensetzungen 
C 2 x Ck •) Es gibt aber auch eine nichtkommutative Gruppe der Ordnung 26, 
die Diedergruppe XN 3 , mit den Erzeugenden S und T ; S 13 = T 2 = ( ST) 2 — I . 
Sie scheint kryptologisch keine Beachtung gefunden zu haben. 

Für Z 25 ist neben der zyklischen Gruppe C 25 eine weitere kommutative Grup¬ 
pe das direkte Produkt C\ == C 5 x C 5 zweier zyklischen Gruppen der Ordnung 
5, man wird darauf geführt durch die zwischengeschaltete Polybius-Codierung 
Z 25 —xZ 5 x Z 5 . Es gibt keine nicht kommutative Gruppe der Ordnung 25. 
Für Z 10 gibt es neben der zyklischen Gruppe C\o die kommutative Gruppe 
C 2 x C 5 ; die zwischengeschaltete biquinäre Codierung Z 10 —xZ 2 x Z 5 führt 
zu ihr. Daneben gibt es die nichtkommutative Diedergruppe D 5 mit den 
Erzeugenden S und T ; S 5 = T 2 = (ST) 2 = I . 

Im Hinblick auf Binärcodierungen besonders interessant sind Gruppen einer 
Ordnung 2 n . Für beliebiges j gibt es von dieser Ordnung die kommutativen 
Gruppen C 2 j und C 2 = C 2 x C 2 x ... x C 2 • Im schon besprochenen Fall j — 1 
fallen beide zusammen; für j — 2 handelt es sich um die zyklische Vierergrup¬ 
pe einerseits und die KJeinsche Vierergruppe andrerseits. Für j = 3 kommen 
hinzu die nicht kommutative Quaternionengruppe Q und die nichtkommuta¬ 
tive Diedergruppe V 4 mit den Erzeugenden S und T ; S 4 = T 2 = (ST ) 2 = I , 
beide ohne kryptologischen Belang. Das gilt auch für eine Fülle nichtkom¬ 
mutativer Gruppen für j — 4 und für j — 5. 

Für den Unterschied zwischen Z 2n und Z 2 (wie auch für den zwischen Z 10 n 
und Z^o) , nämlich den Fortfall der Übertragseinrichtung, siehe 8.3.3. 

0t4o2hnm5 1 rgipcvezdbsyfxawj 3uqkl 

OOOOOOOOOOOOOOOOLLLLLLLLLLLLLLLLi 

OOOOOOOOLLLLLLLLOOOOOOOOLLLLLLLL 2 

OOOOLLLLOOOOLLLLOOOOLLLLOOOOLLLLa 

OOLLOOLLOOLLOOLLOOLLOOLLOOLLOOLL4 

OLOLOLOLOLOLOLOLOLOLOLOLOLOLOLOLs 

0 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 

Tabelle 24. Binärcodierung des Internationalen Fernschreibalphabets Nr. 2 (CCIT 2) 
0:Leer, 1 : Buchstaben, 2 : Zwischenraum, 3: Ziffern, 4: Wagenrücklauf, 5: Zeilenvorschub 


19 . 2.5 Für Z 2 s , den Zeichenvorrat des auf Donald Murray (1900) zurück¬ 
gehenden Internationalen Fernschreibalphabets Nr. 2 (CCIT 2) von 1929 hegt 
es nahe, eine Chiffrierung (mit n = 5) zu verwenden, deren Schlüsselgruppe 
C 2 (und nicht C 2 n ) ist, nämlich eine Chiffrierung mit 32 Alphabeten, die 
durch Substitutionen O oder L (8.3.1) der fünf Binärzeichen entstehen. Die 
Codierung Z 32 —x Z 2 des CCIT 2 zeigt Tabelle 24. Neben den 26 Buch¬ 
staben stehen sechs Funktionszeichen des Fernschreibers zur Verfügung, de- 
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ren Funktion im Chiffrierbetrieb unterbunden wird; wir bezeichnen sie mit 0, 
1, 2, 3, 4, 5 und verwenden 2 als Trennzeichen (tatsächlich wurde aus betrieb¬ 
lichen Gründen die Kombination 12 verwendet - dies ergab, s. 19.2.7, eine 
von Beurling genutzte Einbruchmöglichkeit). Werden die Schlüssel durch 0, 
A, B, C ,..., Z, 2, 3, 4, 5, 1 bezeichnet, so zeigt Tabelle 25 die natürliche 
Chiffriertabelle, ein lateinisches Quadrat. 


Oabcdefghi j k lmnopqrstuvwxyz23451 

0 OABCDEFGHI JKLMNOPQRST UVWXY Z 2 3 4 5 1 
A A0GFR5CBQS 4 N Z 1K3YHD IW2XTVPLUOJ EM 
B BGOQTOHAF 1 LPJ SYEKCWMDVUR 2 N 4 X 5 Z 3 I 
C CFQ0UKAHG4 SEML5POB2 JVDTXW3 1 RY I N Z 
D D RT U 0 4 2WXK 5 I 3YS Z 1 VANBCQGHMOFLE J P 
E E5OK40N3YURCWXF BQPJ 2 Z I 1 LMHTSGDAV 
F FCHA2N0QBJ I 5 1 ZEY3GU4XRWV TOMD P SKL 
G G B A HW3 Q0CMZY4 IP5NFT1RX2DUKJVELOS 
H HQFGXYBC0L1 3 I 40N 5AVZ 2WRUDESTKMP J 
I I S 1 4KUJMLOFDHGRVTZNAPEOY3WQ 5 X C 2 B 
J J4LS5RIZ1F02 BQUWXMEC 3NYOPVGKTADH 
K KNPEIC5Y3D20XWA QBOSR1 4 ZMLGV JHUFT 
L LZJM3W1 4 I HBXO CVR2 SOQ5YNEKUAPDGTF 
M M1SLYXZI4G QWC0T2RJPBN3 5KEDFOUHVA 
N NKY5 SFEPORUAVTOHG3 I DMJ L 1 ZBX4Q2CW 
O 03EPZBY5NVWQ R2H0CKLX4 1 I J S FDMATGU 
P PYKO1Q3N5TXB2RGC0EMWIZ4SJAULFVHD 

8 QHCBVPGFAZMOSJ 3KE0XLUTD2R5 IWN 1 Y 4 
RDW2 AJUTVNESOP I LMX0KGFHBQ1 3CZ5 4Y 
S S IMJN24 1ZACRQBDXWL K0Y5 3 POTHEVFUG 
T TWDV B ZXR2P3 1 5NM4 IUGYOQCAFSEHJOLK 
U U 2 VD C I RXWE N 4Y3 J 1 ZTF 5QOBHGLPAMKSO 
V VXUTQ1W2ROYZN5LI4DH3CB0FAJKGSPME 
W WTRXGLVDUYOMEK 1 JS2BPAHF0CI 5Q43ZN 
X XV 2WHMT UD3PLKEZSJRQOFGAC04NBIY1 5 
Y Y P N 3MHOKEWVGUDBFA5 1TSLJ I 402ZCXQR 
Z ZL4 lOTMJ SQGVAFXDUI 3HEPK5N2 OYRBWC 
2 2UXRFSDVT5KJP04M LWCEHAGQBZYO INI 3 
3 305YLGPEKXTHDUQAFNZVJMS 4 I CR1 0WB2 
4 4 J Z I EDS LMCAUGH2TV 1 5FOKP3YXBNWORQ 

5 5E3NJAKOP2DFTVCGHY4ULSMZ 1 QWI B R 0 X 
1 1MI ZPVLSJBHTFAWU D4YGKOEN5RC3 2QX0 

5 

Tabelle 25. Chiffriertabelle für Fernschreibzeichen: Addition modulo 2 in Z^ 2 


Die Fernschreibcodierung war seit der Jahrhundertwende weithin bekannt 
und seit Vernam auch den professionellen Kryptologen geläufig; die nahelie¬ 
gende Schlüsselgruppe C% und damit die Chiffriertabelle war konkret bekannt. 
Es lagen also alle Voraussetzungen für einen Angriff nach 19.2.3 vor, ins¬ 
besondere war (nach 19.2.2 wegen der Kommutativität der Schlüsselgruppe 
zwangsläufig) der Schlüssel aus Geheimtext und Klartext rekonstruierbar. 

Ein fiktives Beispiel mag sich nun so abgespielt haben: Zwei ungefähr gleich¬ 
lange Funksprüche zur Zeit des deutschen Angriffs auf Kreta (Mitte Mai 
1941) enthielten nach übereinstimmenden Präambeln die (vermutlich pha¬ 
sengleichen) Textanfänge (im Jargon von Bletchley Park eine Mepth of two’) 
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2WHNR G1ATU APLBV RWOUF YPBSX ZNR4J SR 
L0G2A WGH2Z KBVZV QZWYK YWJIO KT5AZ 2K 

Die Briten bildeten die Differenz 

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 

c" 2 WH NR G1ATU APLBV RWO UF YPBSX ZNR4J SR 

c' L 0 G 2 A WGH 2Z KBVZV Q ZWYK YW J I0KT5AZ 2K 

d fwcwd dvqkp nkn40 x 5 j 15 Oslax vm4jg gs 

und suchten mit dem wahrscheinlichen Wort /2kreta2/ ein verständliches 
Gegenstück, wurden schließlich auch fündig mit 

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 2829 30 31 32 

p n * * * 2 k reta2 ***** ***** ***** ***** ** 

d fwcwd dvqkp nkn40 x 5 j 15 Oslax v m 4 j g gs 

p f * * * n i a2und ********** ************ 

Ein Blick auf die Landkarte legt eine Ergänzung von p" zu /chania/ nahe 
und liefert: 

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 

p n a u f 2 k reta2 ********** ********** ** 

d fwcwd dvqkp nkn40 x 5 j 15 Oslax vm4jg gs 

p f chani a2und ********** ************ 

Nunmehr konnten sie einige andere Ortsnamen probieren, die dem /und/ 
folgen. Ein anderer Weg ist, ein weiteres wahrscheinliches Wort zu versuchen, 
etwa /2angriff2/. Damit wurden die Briten bei p" in der Lage 19 fündig mit 

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 

p n a u f 2k reta2 ***** ***2a ngrif f 2 * * * ** 

d fwcwd dvqkp nkn 40 x 5 j 15 Oslax vm4jg gs 

p f chani a2und********fen2ostwae** ** 

Nun geht es schon fast im Galopp weiter; das fehlende Stück in p' dürfte 
/2die2haefen/ sein, anschließend steht vermutlich /ostwaerts2/. Das ergibt 

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 

p" a u f 2k reta2wird2der2a ngrif f2der 2g 

d fwcwd dvqkp nkn40 x 5 j 15 Oslax vm4jg gs 

p f chani a2und2die2haefen2ostwaert s2 

In besser lesbarer Form 

auLkreta-wird-der-angriS-der-g . chania-und.die_haefen_ostwaerts _. 

Ganz ähnlich konnte man mit anderen Teilen des Textes verfahren. Eine 
solche Arbeit war mühevoll, aber sicher auch reizvoll. 

Nach vollendeter Dechiffrierung konnte nun auch der Schlüssel rekonstruiert 
werden. Da aber in die Subtraktion mit der Addition zusammenfällt, 
war herauszufinden, welcher Geheimtext zu welchem Klartext gehörte. Die 
beiden möglichen Zuordnungen ergeben 
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1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 

p f chani a2und2die2haefen2ostwaert s2 

fci MHBWS TSWWO TTOTE ALLOC BNWAT MWADE GT 

d L 0 G 2 A WG H 2 Z KBVZVQ ZWY K YW JI0KT5AZ 2K 

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 

p" auf2k reta2wird2der2a ngrif f2der 2g 

k 2 ZUQON B3 6MC M2HOE VTBRN BDEOF 5KJ 5 3 OY 

cf L 0 G 2 A WG H2Z KBVZVQ ZWY K YW JI0KT5AZ 2K 

Man wird sich vielleicht für eine weniger unregelmäßige, wie hier die erstere, 
Lösung entschieden haben, in der Annahme, daß durch einen nicht zu kompli¬ 
zierten Schlüsselerzeuger eine gewisse (lokale) Regelmäßigkeit unvermeidbar 
sein dürfte. 

19.2.6 Die Verwendung des Chiffrierfernschreibers SZ40, SZ42 („Schlüssel¬ 
zusatz“) der Firma Lorenz, in dem eine Schlüsselfolge durch ,unregelmäßi- 
ge‘ Fortschaltung erzeugt wurde, auf der höchsten Ebene der Wehrmacht- 
Nachrichtenverbindungen war also äußerst riskant, wenn man eine Klartext- 
Klartext-Kompromittierung nicht ausschließen konnte. P. W. Filby berichtete 
überdies, daß 1932 ein Mr. Lorenz dem Foreign Office eine Chiffriermaschine 
angeboten und offenbart hatte. Hinzu kam, daß das Konkurrenzprodukt der 
Firma Siemens, der Chiffrierfernschreiber T52 („Geheimschreiber“), offen be¬ 
schrieben war im DRP Nr. 615016, angemeldet von August Jipp und Ehr- 
hard Roßberg am 18. Juli 1930, U.S. Patent No. 1912 983 für Jipp , Rossberg , 
und Eberhard Bettler. Es war also für die Briten in Bletchley Park nicht 
allzu schwer, die Situation richtig zu beurteilen. Zugute kam ihnen, daß der 
„Schlüsselzusatz“ tatsächlich nur die 32 durch Substitutionen O oder L der 
fünf Binärzeichen entstehenden Chiffrierschritte benutzte, während der T52 
auch Transpositionen heranzog (9.1.3) und eine größere Schlüsselmenge hatte. 
Die für die deutsche Seite fatale Situation trat tatsächlich 
ein, und zwar sehr früh. Wie man seit 1993 durch Jack 
Good (erste Andeutungen 1978 durch Brian Johnson , 1983 
durch Andrew Hodges ) weiß, wurden auf der seit Mitte 
1941 bestehenden Hellschreiber-Funkstrecke Wien-Athen 
der Wehrmacht noch während der Erprobung infolge eines 
Fehlers eines deutschen Nachrichtensoldaten zwei ziem¬ 
lich lange Nachrichten p', p" mit der selben Anfangsstel¬ 
lung der ,Schlüsselräder ‘ ausgesandt, also mit dem sel¬ 
ben Schlüssel k chiffriert. Irgend jemand in Bletchley 
Park schöpfte Verdacht; die Kompromittierung erlaubte dem Oberst, später 
Brigadegeneral John Tiltman , 2 dem Chef des britischen Dechiffrierwesens in 
Bletchley Park , im Herbst 1941 aus der Differenz d der beiden aufgefangenen 
Geheimtexte in zweiwöchiger Handarbeit die beiden Klartexte zu bestimmen. 

2 “... he was charming and intelligent and though he looked military he certainly didn’t 
behave like a stuffed shirt.” (Robin Denniston ) 



John H. Tiltman 
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Wie zwischenzeitlich bekannt wurde, fand der Vorfall am 30. August 1941 
statt; mit dem Indikator HQIBPEXEZMUG wurden zwei ungefähr 4000 Zei¬ 
chen umfassende vermutliche isologs aufgefangen, die in den ersten 7 Zeichen 
übereinstimmten und deren Zeichen ff bl bis #120 nachfolgend zusammen 
mit der Differenzenbildung, die Tiltman vornahm, wiedergegeben sind: 

51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 

c" UB23R 5WEVGQI 2 4 5 GRJML CY50HKAS1 I S5XUN 

c' YUHVH 3HEE0 TG2HH 1QJXV K1BJM K20MZ YVIN3 

d lvtsv buOlg umOmp sxOen e r 3 j 4 Ouxaq t m 3 j q 

86 87 88 89 90 91 92 93 94 95 96 97 98 99 00 01 02 03 04 05 06 07 08 09 10 11 12 13 14 15 16 17 18 19 20 

c" SRZZB DBB1C LSQHH UH5XD 0FN3J 3 VOCA DJCDN 

c' HMC3D UQ3 4Z R2MRMOH* JQ PWUEY CDRG 1 LDATI 

d zplrt c c 5 ql o e j v4 1 0 * p v pvjgv yqlhm 3 5 f br 

Tiltman mag vielleicht mit dem wahrscheinlichen Wort /geheim2/ ein ver¬ 
ständliches Gegenstück gesucht haben, dabei wurde er sicher bald fündig mit 

61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 

p n * * * * g ehe im 2***4 ***** 4 * g e h e i m 2 4 ***** 

d umOmp sxOen erej4 Ouxaq t m 3 j q zplrt c c 5 ql 

p' 4 4 4 4 n 2deut s 4 4 4 4 ***** ** e ra t t a c 4 ***** 

/n2deuts/ läßt sich unschwer zu /an2deutsch/ ergänzen, ebenso führt /erattac/ 
auf / 2militaerattache2/ ; die Lücke füllt sich mit /an2deutschen/ . Das ergibt für 
p' bereits ein Fragment von 29 Zeichen: 

61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 

p ****g ehei m 24*** ***** **geh ei m 2 4 ***** 

d umOmp sxOen e r e j 4 Ouxaq t m 3 j q zplrt c c 5 ql 

p* 4**an 2deut sehen 2 m i 1 i taera ttach e24** 

und ergibt für p" ebenfalls 29 konsekutive Zeichen 

61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 

p n * * * 1 g eheim22kr2 233zz Olgeh eim2 2 kr4** 

d umOmp sxOen erej4 Ouxaq t m 3 j q zplrt c c 5 ql 

p f 4**an2deut sehen 2 m i 1 i taera ttach e24** 

Damit ist auch klar, daß, einer liebgewordenen deutschen Gewohnheit fol¬ 
gend, GEHEIM verdoppelt wurde; die Verdopplung der gesamten Gruppe 
/Igeheim22kr2233zz0 / führt auf eine Verlängerung, die bis auf einen Hörfehler 
Sinn macht. Spätestens jetzt drängt sich der Verdacht auf, daß die weitere 
Nachricht p" gegenüber p f lediglich verschoben ist, und zwar um 39 Stellen, 
weil /an2deutschen2militaerattache2/ in der Lage #103 wieder Sinn ergibt, näm¬ 
lich /lägetlnr33mwoou21 lg/ (in verständlichem Text läge nr.2997-g ): 

86 87 88 89 90 91 92 93 94 95 96 97 98 99 00 01 02 03 04 05 06 07 08 09 10 11 12 13 14 15 16 17 18 19 20 

p n eim22 k r 2 2 3 3zzl2 4*an2 deuts chen2 milit 

d zplrt cc5ql oejv4 1 0 * p v pvjgv yqlhm 3 5 f br 

p f ttach e2iw2 athen 4lage 1 1 n r 3 3mwoo u 2 1 1 g 
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Somit ergibt sich nun die weitere Fortsetzung durch Vorausschau um 39 Zei¬ 
chen bereits automatisch — ganz ähnlich zu dem Trugschluß über autokey , 
den Shannon beschrieb (8.7.2). Es wird berichtet, daß Tiltman nach zehn Ta¬ 
gen die Entzifferung geschafft hatte, die wegen möglicher weiterer Hörfehler 
vermutlich schwieriger war, als die nachträgliche Analyse erkennen läßt. 

Daß die Chiffrierung tatsächlich durch Addition modulo 2 erfolgte, die Sub¬ 
traktion also mit der Addition zusammenfiel, hatte übrigens für die Methode 
keine Bedeutung. Die Chiffrierung war jedoch involutorisch, was die Praxis 
für vorteilhaft hielt — ohne echt involutorisch, mit den damit verbundenen 
Nachteilen, zu sein. 

Die Nachrichten mögen für sich von geringem Wert gewesen sein. Wichtig 
war, daß ein rund 4000 Zeichen langes Fragment des von der unbekannten 
Maschine, britischer Deckname TUNNY (Thunfisch) erzeugten Schlüssels ex¬ 
poniert war, nämlich durch k = d +p f mod 2 ; der Anfang lautete (Tab. 24): 
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Mit dem Schlüsselfragment der hypothetischen TUNNY-Maschine war ein 
Einbruch in das Schlüsselerzeugungssystem der deutschen Maschine möglich. 
Zunächst war es erforderlich, die Perioden die einzelnen Schlüsselräder (auf 
deren Vorkommen man wohl in Analogie zur Siemens T52 schließen konnte) 
herauszufinden. Aus der Länge des Indikators konnte man vage schließen, daß 
12 Schlüsselräder mitspielten. Da keiner der Kanäle k\ bis k§ des Schlüssels 
k Perioden mit Längen unter 100 aufwies, mußte man annehmen, daß je¬ 
der Kanal durch die Wirkung (wenigstens) zweier Schlüsselräder chiffriert 
wurde. Die Briten nannten sie \i und wobei zuerst die Chi- Räder und 
dann die Psz-Räder chiffrierten. Durch Parallelstellenuntersuchung fanden 
sie zuerst die Perioden der CTw-Schlüsselräder heraus, etwa 41 für \i > wie 
Abb. 142 zeigt. Dann wurden auch die Perioden der Psz-Schlüsselräder be¬ 
stimmt (43 für xßi) und die Wirkungsweise der verbleibenden zwei motor 
wheels aufgeklärt (s. 9.1.4). Diese Aufgabe löste nach Johnson und Good in 
monatelanger Arbeit hauptsächlich der junge Mathematiker William Tho- 
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Abb. 142. Periodenbestimmung des Schlüsselrads Al- Parallelstellen A, B, C. 

In Bletchley Park wurde O durch einen Punkt, L durch ein Kreuz dargestellt 
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mas Tutte aus dem Trinity College von Cambridge, der später als Gra- 
phentheoretiker bekannt wurde. Die Briten nannten im weiteren Verlauf 
die Feststellung der durch die Lage der Schaltstifte auf den Schlüsselrädern 
bestimmten, in kurzen Zeitabständen wechselnden periodischen O-L-Folgen 
L wheel breakingh Januar 1942 war die gesamte Struktur der durch das sel¬ 
be HQIBPEXEZMUG (liebevoll ‘ZMUG’ genannt) kompromittierten Ma¬ 
schine aufgeklärt; nach Kriegsende bestätigten erbeutete Maschinen dies. 3 
Die praktische Arbeit bestand nach dem gelegentlichen L wheel breakinff „nur“ 
noch darin, jeweils die richtige Anfangsstellung der Schlüsselräder zu finden 
( L wheel setting’) etwa durch Exhaustion mit vorgegebenen C cribs\ geeigne¬ 
ten Mengen wahrscheinlicher Wörter; dann lieferte aber die von S. W. Broad- 
hurst nachgebaute TUNNY-Maschine (fertig Mitte 1942) den Klartext. 

Nach den Anweisungen des von der pure cryptanalysis überzeugten Max¬ 
well H. A. Newman ging man an die Mechanisierung des L wheel setting\ Der 
aufgefangene Geheimtext mußte gegen den Schlüsseltext phasenrichtig aus¬ 
gerichtet werden, möglicherweise durch einen Kappa-Test. Mai 1943 war be¬ 
reits ein erstes Versuchsmodell, nämlich der schon in 17.3.3 genannte HEATH 
ROBINSON, in Betrieb; wobei auch der ständig umlaufende Schlüssel auf 
Lochstreifen gestanzt war. Das führte zu Problemen der mechanischen Ab- 


3 “ We did not capture a German TUNNY until the last days of the war in Europe” , sagte 
stolz Jack Good. 
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Abb. 143. Teilansicht der COLOSSUS (vermutlich Mark II). Deutlich zu sehen sind 
der umlaufende Lochstreifen für den Geheimtext, das Klinkensteckerfeld 
und die Anordnung der Röhren, vermutlich vom Typ Mullard EF36 


nutzung. T.H. Flowers (f 1998), unterstützt von S. W. Broadhurst, W.W. 
Chandler und von A. W.M. Coombs , ging deshalb daran, den Schlüssel in¬ 
tern zu speichern: Im Dezember 1943 wurde der Prototyp COLOSSUS Mark 
I, weltweit die erste funktionsfähige elektronische Rechenmaschine 4 , fertig; ab 
Februar 1944 wurde sie erfolgreich gegen TUNNY (SZ 42) eingesetzt und am 
1. Juni 1944, gerade rechtzeitig zum Beginn der Landung in der Normandie, 
wurde die verbesserte COLOSSUS Mark II nutzbar (Abb. 143). 

In der Anwendung gegen die deutschen Fernschreib-Chiffriermaschinen wur¬ 
den nach Johnson deren Schlüsselräder durch schnelle Röhren-Ringzähler 5 im 
1-aus-n-Code nachgebildet. Der Geheimtext-Lochstreifen konnte photoelek¬ 
trisch mit 5 000 Zeichen pro Sekunde abgelesen werden. COLOSSUS mit un¬ 
gefähr 1 500 Röhren erlaubte auch eine flexible Klinkenstecker-Programmie¬ 
rung elementarer Boolescher Operationen und binärer (bi-quinärer) Arith¬ 
metik, und zwar in fünffacher Parallelisierung. In der verbesserten Mark II 
mit etwa 2 500 Röhren konnten auch Ablaufverzweigungen bewältigt werden, 
es gab zudem ein ‘ logic Switching panel\ ein Schalterfeld, auf dem Boolesche 
Operationen zwischen den Spuren manuell voreingestellt und während des 
Ablaufs verändert werden konnten. Nach Good wurden die späteren Ma¬ 
schinen auch zur Unterstützung des wheel breaking der Chi-Schlüsselräder 
eingesetzt. Insgesamt wurden zehn COLOSSUS-Maschinen gebaut. 


4 nach Michie wohl auch SUPER ROBINSON genannt. 

5 Johnson, der aufgrund einer Desinformation unter der irrigen Annahme stand, das Gerät 
sei gegen den ,Geheimschreiben T52 gerichtet gewesen, spricht noch von 10 Zählern. 
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Abb. 144. Einige Funkfernschreibverbindungen mit SZ40, SZ42, die in 

Bletchley Park mit COLOSSUS gebrochen wurden (nach Hinsley) 

Es schmälert den Ruhm der Briten nicht, wenn man feststellt, daß diese Ma¬ 
schinen hauptsächlich auf ziemlich primitive Vergleichsoperationen getrimmt 
waren, auf Rechnen im weitesten Sinn. Ihr Steuerungsablauf war auf der 
gleichen Ebene wie der der Maschinen von Konrad Zuse , sie benutzten das 
Sägebockprinzip. Nach Good programmierte Donald Michie sie auch, um 
das c wheel breaking ’ zu beschleunigen. Es ist aber nicht klar, ob die Geräte 
auch für andere Aufgaben als das ‘ wheel setting ’ eingesetzt wurden — zur 
Periodenanalyse, zum Ausrichten der Phase, zum Abstreifen einer Überchif¬ 
frierung, wozu sie (vgl. 17.3.5 und 18.6.3) durchaus geeignet gewesen wären. 

In den U.S.A. gab es aufgrund einer Reihe von Fehlschlägen, die Vannevar 
Bush in seinen Versuchen, eine elektronische Version seines COMPARATORs 
zu bauen, erlitt, vor dem Ende des 2. Weltkriegs keine erfolgreiche elektro¬ 
nische Entwicklung, die den britischen COLOSSUS-Geräten ebenbürtig war. 
Dann holte die amerikanische Kryptanalyse jedoch auf: “by the time Japan 
surrendered, the Americans were building electronic machines using twice as 
many tubes as the British Colossus” (Burke) — gemeint ist die Eastman 5202. 
Die Briten waren ab 1943 gegen die deutschen Funkfernschreibverbindun¬ 
gen der Heeresführung, die überwiegend mit SZ40 und SZ42 arbeiteten, sehr 
erfolgreich und ergänzten damit ihre hauptsächlich von der Luftwaffe gespei¬ 
sten ENIGMA-Einbrüche, obschon manchmal, den höheren kryptologischen 
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Ansprüchen entsprechend, die Entzifferung bedeutend mehr Zeit in Anspruch 
nahm (normalerweise vier Tage). Die Nachrichten auf höchster Ebene waren 
den Aufwand wert. Gebrochen wurden ab November 1942 die Verbindung 
zwischen Berlin und der Heeresgruppe E in Saloniki, ab Januar 1943 die 
Verbindung zwischen der Heeresgruppe C in Rom und der Panzerarmee von 
Rommel in Tunis. Ab Mai 1943 war die Verbindung zwischen Berlin und 
der Heeresgruppe C ( Kesselring ) nicht mehr sicher, ab April 1943 auch die 
Verbindung zwischen Berlin und der Heeresgruppe Süd in Winniza. Die deut¬ 
sche Offensive gegen Kursk, Juli 1943, wurde damit kompromittiert. An diese 
frühen Erfolge reihten sich 1944 zahlreiche weitere an, darunter auch der Ein¬ 
bruch in die Verbindung zwischen Berlin und dem Oberkommandierenden der 
Westfront, von Rundstedt (Abb. 144). Die Betroffenen waren ahnungslos. Sie 
wechselten die C/w-Schlüsselräder alle 3 Monate, die Psz-Schlüsselräder alle 
6 Monate, später alle Monate; die motor wheels wurden täglich gewechselt. 

Die Briten hatten auch Rückschläge hinzunehmen. Am 10. Juni 1944, vier 
Tage nach der Landung in der Normandie und zehn Tage nach Inbetriebnah¬ 
me von COLOSSUS Mark II, verloren sie den Einblick in die Verbindung von 
Berlin zu von Rundstedt , und im Juli auch in die Verbindung von Berlin zu 
Kesselring ; erst im September hatten sie wieder aufgeschlossen. Dies beruhte 
auf einem radikalen Zusatz zur Lorenz-Maschine, ähnlich zu der ‘Klartext- 
funktion’ der Siemens-Maschine: Die Briten nannten sie kurz und bündig 
Tlaintext Bit 5 Two Steps Back’. 

Nunmehr kam auch eine wachsende Zahl von COLOSSUS-Maschinen zum 
Einsatz. Die britische Entzifferung erreichte einen Höhepunkt im März 1945; 
von da an reichte die Kraft der zusammenbrechenden Wehrmacht nicht ein¬ 
mal mehr aus, die britischen Entzifferer voll zu beschäftigen. Immerhin ka¬ 
men die wachsenden Erfolge gegen die SZ42 gerade recht, um die zusehende 
Erschwerung der Entzifferung der ENIGMA zu kompensieren. 

19 . 2.7 Gegen die Schlüsselfernschreibmaschine T52 von Siemens („Geheim¬ 
schreiber“) richteten sich die britischen Anstrengungen weniger. 6 Das lag 
nicht so sehr daran, daß sie tatsächlich, weil ihre Chiffrierschritte auch gewisse 
Transpositionen der Bits (siehe 9.1.3) einschlossen, kryptologisch umfangrei¬ 
cher und kryptanalytisch etwas widerspenstiger war — T52-chiffrierte Funk¬ 
sprüche wurden, dank sorgloser Operateure auf deutscher Seite, ab Mitte 
1942, wenn auch mühevoll, ebenfalls entziffert, erstmals auf den Funkstrecken 
Sizilien-Libyen und Ägäis-Sizilien —, sondern weil sie aus technischen Grün¬ 
den auf Funkstrecken nur ungern eingesetzt wurde. Ein weiterer Grund war, 
daß die Luftwaffe mit ihren ENIGMA-Verbindungen so fahrlässig umging, 
daß man sich die Mühe mit den von der Luftwaffe benutzten T52 sparen 
konnte. Umgekehrt war der Einbruch in die ENIGMA-Verbindungen des 
disziplinierten und weniger geschwätzigen Heeres schwieriger (19.7). 

6 Daß COLOSSUS hauptsächlich gegen SZ42 und nicht gegen T52 gerichtet war, wurde 
erstmals 1980 von Rex Malik aufgedeckt. 
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Die T52a wie auch die aufgerüstete T52d benutzten (s. 9.1.3) neben 32 Sub- 
stitionen auch 32 Transpositionen der fünf Bits, von denen 30 verschieden 
waren. Der Schaltungsaufbau dieser Transpositionen war bekannt. Die ge¬ 
gen die SZ42 gerichtete Angriffsmethode konnte cum grano salis übertragen 
werden; die Rekonstruktion des Schlüssels war allerdings komplizierter. Das 
Bauprinzip der Schlüsselräder war ebenfalls bereits bekannt. Die T52c wie 
auch die aufgerüstete T52e, die Spruchschlüsseleinstellung hatten, verwen¬ 
deten nur 16 verschiedene Transpositionen. Und die Aufrüstung zur T52d 
bzw. T52e war nicht gravierend: Die unregelmäßige 4 Fortschaltung war 
kein bedeutendes Hindernis. Sprüche mit Klartextfunktion waren zwar sehr 
schwierig zu brechen, kamen andrerseits aus technischen Gründen im Funk¬ 
verkehr nur selten vor. 

Superimposition von Sprüchen vom 25. und 27. Mai 
1940 erlaubte dem für Försvarets Radioanstalt (FRA) 
arbeitenden schwedischen Mathematiker Arne Beur- 
ling (1905-1986), ein Genie wie Turing, in eine über 
Schweden nach Oslo laufende T52a-Fernschreibverbin- 
dung einzudringen. Er nützte die betrieblich gebotene 
stereotype und häufige Verwendung des Fernschreib¬ 
zeichens l 4 Buchstabenumschaltung’ vor jedem 2 ‘Zwi¬ 
schenraum’ (s. 19.2.5) aus: Er beobachtete, daß nicht 
nur die Klartextzeichen 1 und 2 genau ein Bit gemein¬ 
sam haben, sondern daß dies auch der Fall ist, wenn sie 
bei einer der häufig vorkommenden Klartext-Klartext - 
Kompromittierungen an der selben Schlüsselposition 
chiffriert werden (‘differential cryptanalysis’). Damit konnte er bereits die 
Wortzwischenräume rekonstruieren. Details, wie er weiter verfuhr, hat er 
mit ins Grab genommen. Jedenfalls gelang ihm um den 12. Juni 1940 der 
Einbruch und sodann eine vollständige Rekonstruktion der T52a/b und der 
Nachbau. Ende 1942 waren 32 der “apps” (Abb. 145) betriebsbereit. 



Arne Beurling 
(1905-1986) 



Abb. 145. Vom schwedischen Entzifferungsdienst FRA nachgebauter ‘Geheimschreiber 7 
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Am 17. Juni 1942 schöpften die Deutschen aufgrund finnischer Mitteilungen 
Verdacht, unternahmen aber nicht viel. Die Schweden konnten im Juli 1942 
auch noch in den gerade aufgenommenen T52c-Verkehr eindringen. Der Er¬ 
folg endete erst im Mai 1943, als die Deutschen die Spruchschlüssel-Prozedur 
änderten. 

19.3 Phasenrichtige Superimposition 
von überchiffriertem Code 

In den bisherigen Beispielen war die Superimposition banal: Die Geheimtexte 
waren ,in Phase‘. Sind aber zwei oder mehrere Geheimtexte mit verschie¬ 
denen Anfangsstellungen eines maschinell erzeugten Schlüssels chiffriert, so 
müssen sie zuallererst gegenseitig ausgerichtet werden, um eine phasenrich¬ 
tige Superimposition zu ermöglichen. Dazu kann wie in Kapitel 17 etwa eine 
Kappa-Untersuchung dienen: Die Geheimtexte sind vermutlich in Phase, so¬ 
bald ihr gegenseitiges Kappa maximal wird und in der Nähe von ks liegt. 

19 . 3.1 Manchmal geht es jedoch auch einfacher. Sofern man bei der Über¬ 
chiffrierung von Code einen vorbereiteten Schlüssel verwendet, der häufig 
wechselt, wehrt man den Angriff mit banaler Superimposition gern dadurch 
ab, daß man für jeden Spruch einen anderen Beginn im Schlüsselmaterial 
nimmt. Um dazu nicht von vornherein eine Prozedur festlegen zu müssen, hat 
es sich mancherorts eingebürgert, dem Spruch einen Spruchschlüssel (engl. 
indicator , frz. clef de message) 7 voranzuschicken, aus dem der Start — sei 
es Seite, Zeile und Spalte in einem Buch, sei es eine Grundstellung einer 
Überchiffrierungsmaschine — hervorgeht. Das verbirgt den Schlüssel, aber es 
kann — was leicht übersehen wird — nicht eine phasenrichtige Ausrichtung 
der einzelnen Sprüche durch geeignete Methoden (s.o.) verhindern. Im Hin¬ 
blick auf eine Superimposition ist dies ohnehin nur eine complication illusoire , 
sobald aus den Indikatoren zweier Nachrichten ihre Phasendifferenz direkt 
fest gestellt werden kann. 8 Kahn gibt hierfür ein amateurhaftes Beispiel: 

Die Überchiffrierungszahlen für einen vierstelligen Code seien vierstellig, ein 
ebenfalls vierstelliger Indikator ist jedem Spruch vorangestellt, wobei etwa 
6218 bedeute: Die ersten vier Zeichen auf Seite 62, Zeile 18. Dann werden 
die nachrichtentragenden Teile der folgenden fünf Sprüche 

(i) 6218 6260 7532 8291 2661 6863 2281 7135 5406 7046 9128 .... 

(ii) 6216 3964 3043 1169 5729 3392 1952 7572 2754 7891 6290 .... 

(iii) 6218 4061 6509 4513 1881 0398 3402 8671 4326 8267 6810 .... 

(iv) 6218 5480 9325 3811 4083 5373 4882 8664 8891 6337 5914 .... 

(v) 6217 7260 8931 8100 5787 6807 2471 0480 9892 1199 8426 .... 

phasenrichtig ausgerichtet: 


7 Nicht zu verwechseln mit Kenngruppe (engl, discriminant ), die Hinweise auf die organi¬ 
satorische Behandlung der Nachricht gibt. 

8 Um dies zu verhindern, wird der Indikator selbst chiffriert, wie z.B. bei der ENIGMA- 
Chiffrierung. 
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123456789 10 

(i) 6260 7532 8291 2661 6863 2281 7135 5406 7046 9128 .... 

(ii) 3964 3043 1169 5729 3392 1952 7572 2754 7891 6290 6719 7529 .... 

(iii) 4061 6509 4513 1881 0398 3402 8671 4326 8267 6810 .... 

(iv) 5480 9325 3811 4083 5373 4882 8664 8891 6337 5914 .... 

(v) 7260 8931 8100 5787 6807 2471 0480 9892 1199 8426 1710 .... 

Für eine Häufigkeitsanalyse der einzelnen Latten reicht das Material meist 
nicht aus. Im Falle linearer Substitutionen, insbesondere im vorliegenden 
Fall einer additiven Uberchiffrierung von Z 10 , ist jedoch wie schon in 
18.6.2 die symetrie de position heranziehbar. Die Differenzenmethode bil¬ 
det dazu wieder für jede Latte Differenzentafeln, etwa für die erste und für 
die fünfte Latte nach Abb. 146. 
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5909 
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7108 
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Abb. 146. Differenzentafeln 
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Abb. 147. Differenzentabelle 

Angesichts des Umfangs von zehn Differenzentafeln mit je 20 wesentlichen 
Einträgen ist es angebracht, alle Differenzen zu ordnen, um mehrfach vor¬ 
kommende aufzufinden. Abb. 147 zeigt einen geeigneten Ausschnitt aus einer 
solchen Tabelle. 

Subtrahiert man nun in jeder Latte jeweils die Subtrahenden der wiederholt 
auftretenden Differenzen, so erhält man aus den fünf ausgerichteten Nach¬ 
richten die teilweise reduzierten Nachrichten: Wie in Abb. 148 gezeigt, wird 
für die Differenz 8801 in der Latte 1 6260 subtrahiert, in der Latte 5 7572 
subtrahiert; gleichermaßen wird für die Differenz 9391 in der Latte 4 2661 
subtrahiert, in der Latte 9 7046, in der Latte 10 7529. Hier umfassen diese 
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zwei Subtraktionen bereits die aus der Differenz 9220 herrührenden, was als 
Bestätigung, daß die Phasen richtig ausgerichtet sind, angesehen werden darf. 

Die reduzierten Latten sind in einem monoalphabetisch chiffrierten Zwischen¬ 
text (vgl. 18.3.2); in einem relativen placode abgefaßt, der die Übereinstim¬ 
mungen aufzeigt (kursiv sind die bereits bestimmten relativen Schlüssel ange¬ 
geben). Die wiederholt auftretenden placodes sind 0000, 9391, 5909, 8801, 
9220, 9391. 

1’ 2 3 4’ 5’ 6 7 8 9’ 10’ .... 


(i) 

0000 

7532 

8291 

0000 

9391 

2281 

7135 

5406 

0000 2609 

(ü) 
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0000 

(iii) 
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3402 

8671 

4326 
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(iv) 
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2422 
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5909 0480 
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1199 
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7046 
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Abb. 148. Teilweise reduzierte Nachrichten 


Nicht immer verläuft die Differenzenmethode so erfolgreich wie in diesem 
Beispiel, in dem die ganze Nachricht — mit Ausnahme der unvollständigen 
Latten — in relativen placode überführt werden kann. Oft entstehen zu¬ 
nächst nur Inseln, die sich bei Vorliegen weiteren Materials zu Archipeln 
zusammenschließen. Es kann trotzdem Vorkommen, daß nur partielle Lösun¬ 
gen erzielbar sind; auch können falsche Übereinstimmungen auftreten und 
den Entzifferer zum Narren halten. Beispielsweise ergibt sich die Differenz 
1480 nicht nur aus der Latte 9: 1480 = 8426 — 7046, sondern auch aus 
der Latte 6 : 1480 = 4882 — 3402. Würde man aber die Latte 6 mittels 
3402 reduzieren, so bekäme man einen falschen placode — der allerdings 
beim Vorliegen von mehr Material wieder ausgejätet würde. 

19.3.2 Im Abstreifen einer Überchiffrierung hatten die Experten im Auswär¬ 
tigen Amt, Paschke, Kunze , Schaufflep Langlotz seit 1921 langjährige Erfah¬ 
rung. Sie alle traten dem Dienst, den Kurt Selchow leitete, 1918 oder 1919 
bei. Adolf Paschke war nominell Leiter der Sprachengruppe. Dr. Werner Kun¬ 
ze,, der Mathematiker (damals eine Seltenheit im Dienst), begann 1921, einen 
überchiffrierten französischen Code anzugehen und rekonstruierte ihn schließ¬ 
lich 1923; er nahm 1927 diese Arbeit wieder auf. Die Entzifferungsgruppe des 
AA war zunächst getarnt als Unterabteilung Z der Abteilung I, Personal und 
Haushalt; 1936 änderte eine Umorganisation ihren Namen in Pers Z. 

Die mühselige Arbeit von Hand wurde später maschinell unterstützt, halb¬ 
automatisiert. Pers Z ließ Hans-Georg Krug teils aus Lochkartenmaschi¬ 
nen, teils aus Bauteilen derNachrichtentechnik solche ,Roboter 4 , wie Kahn sie 
nennt, herstellen. Auf solchen Vorarbeiten bauten Hans-Kurt Müller , Asta 
Friedrichs und andere ihre überragende Leistung auf, die Entzifferung des 
diplomatischen Code der U.S.A. und das Mitlesen ab August 1941 bis in den 
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Sommer 1943 hinein. Allen W. Dulles, damals amerikanischer Geheimdienst¬ 
chef in Europa, schöpfte keinen Verdacht, bis ihn Hans Bernd Gisevius, ein 
dem deutschen Widerstand verbundener Angestellter im deutschen Konsu¬ 
lat in Zürich, warnte. Bei Chi, der Chiffrierabteilung des OKW, verfolgten 
die Ingenieure Wilhelm Rotscheidt und Willi Jensen entsprechende Gedan¬ 
kengänge (s. 18.6.3). Und der B-Dienst der deutschen Kriegsmarine war ge¬ 
gen die britischen Naval Cyphers (22.1.1) erfolgreich. Die Alliierten gingen 
ähnlich vor, und auch manche Dienste der Neutralen. u The single most com¬ 
mon cryptanalytic procedure of the war [was] the Stripping of a numerical 
additive from enciphered code” ( David Kahn). 

Kunze leistete auch sonst hervorragende Arbeit: er löste 1936 die japanische 
Rotormaschine (s. 8.5.7) ORANGE und später auch RED. Im Auswärtigen 
Amt arbeiteten dann im Krieg, zufolge Otto Leiberich, zwölf Linguisten (dar¬ 
unter Cort Rave, der die Verbindung zu Erich Hüttenhain im kooperierenden 
OKW Chi hielt) Tag für Tag an der Entzifferung der PURPLE-Sprüche des 
japanischen Botschafters in Berlin Hiroshi Oshima. Reichsaußenminister Joa¬ 
chim von Ribbentrop betrachtete Pers Z als spezielle Waffe im Kampf mit 
seinen Rivalen Hermann Göring and Heinrich Himmler. 

19.4 Geheimtext-Geheimtext-Kompromittierung 

Eine schwierige Situation entsteht in der Praxis, wenn eine Nachricht ge¬ 
ringfügig verändert nochmals gesendet werden muß, etwa weil ein Tipp¬ 
fehler korrigiert oder eine Zahlenangabe geändert werden soll. Wird beim 
zweiten Mal der selbe Schlüssel benutzt, entsteht eine Klartext-Klartext- 
Kompromittierung von der Stelle der Korrektur an, mit allen geschilderten 
schlimmen Konsequenzen. Wird jedoch beim zweiten Mal ein verschiedener 
Schlüssel benutzt, entsteht eine Geheimtext-Geheimtext-Kompromittierung 
bis hin zu der Stelle der Korrektur. 

19.4.1 Eine Geheimtext-Geheimtext-Kompromittierung der Schlüssel ent¬ 
steht ganz allgemein, wenn ein und die selbe Nachricht oder zumindest ein 
großes Stück davon zwei- oder mehrmals mit jeweils verschiedenen Schlüsseln 
chiffriert wird. Eine gefährliche Einbruchsmöglichkeit für den unbefugten 
Entzifferer entsteht, wenn dies im gleichen System geschieht: Sind die ent¬ 
stehenden Geheimtexte systembedingt ,isomorph‘ (2.6.3), so sind sie gleich 
lang, was sehr leicht auffällt. Ein klassisches Beispiel für einen solchen An¬ 
griff boten im Dezember 1938 und Januar 1939 Funksprüche des rumänischen 
Militärattaches in Paris mit seinem Außenministerium, die sich in der Länge 
nur um zwei Fünfergruppen unterschieden. Nach Hüttenhain gelang es, die 
Sprüche zu entziffern, wobei sich herausstellte, daß lediglich das Textstück 
/Heft 17/ des ersten Textes durch das Textstück /Heft 15 statt 17/ im 
zweiten Text ersetzt war. 

Geheimtext-Geheimtext-Kompromittierung der Schlüssel ist geradezu sy¬ 
stemimmanent bei vernetzten Nachrichtenverbindungen, wenn ein „Rund- 
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schreiben“ abgesetzt wird, möglicherweise an Dutzende oder Hunderte von 
Empfängern, von denen jeder seinen eigenen Schlüssel hat. Konteradmiral 
Ludwig Stummel , für die Sicherheit des Funkverkehrs der Marine veranwort- 
lich, führte 1943 eine Vielzahl von Schlüsselnetzen ein und gab ab Mitte 1944 
jedem Unterseeboot seinen eigenen Schlüssel. Das gab den Briten zwar ver¬ 
mehrte Arbeit, stellte sich aber im übrigen als self-defeating complication 
heraus: “... was actually helpful , because the same message would often ap- 
pear in several keys , sometimes on different days” (Rolf Noskwith). Selbst 
Stummel hatte es nicht geschafft, Tagesbefehle für jedes Netz oder gar für 
jedes Boot individuell abzufassen. 

Als am 1. Februar 1942 die 4-Rotor-ENIGMA nur für die Unterseeboote ein¬ 
geführt worden war, kamen häufig Kompromittierungen dadurch zustande, 
daß allgemeine Befehle für die übrigen Schiffe mit der 3-Rotor-ENIGMA chif¬ 
friert übermittelt werden mußten. Hier wäre die Warnung angebracht gewe¬ 
sen, die schon 1914 Sir Alfred Ewing formuliert hatte: “It is never wise to 
mix ciphers. Like mixing your drinks , it may lead to self-betrayaF . Aber der 
Stab von Großadmiral Dönitz nahm davon keine Kenntnis. 

Streng genommen kann von einer ,Kompromittierung’ der Schlüssel keine 
Rede mehr sein, wenn die Schlüssel ohnehin öffentlich aind (10.1.2). Je¬ 
doch ist nur der Chiffrierschlüssel öffentlich, nicht der Dechiffrierschlüssel, 
und auf den Dechiffrierschlüssel kommt es ja an. Tatsächlich birgt auch ein 
öffentliches Chiffrierverfahren inhärent die Gefahr einer Geheimtext-Geheim- 
text-Kompromittierung des Dechiffrierschlüssels. 

Im Jargon von Bletchley Park hieß eine Geheimtext-Geheimtext-Kompromit- 
tierung der Schlüssel ein ‘ kiss’ . Besser hätte man das Entzücken der Ent¬ 
zifferer über einen solchen Glücksfall nicht ausdrücken können. Die Bri¬ 
ten profitierten unter anderem davon, daß kleinere Boote der deutschen 
Kriegsmarine nicht mit ENIGMAs ausgerüstet waren, sondern auf eine ein¬ 
fache Bigramm-Chiffrierung (,Werftschlüssek) angewiesen waren. Die großen 
Schiffe dagegen hatten diese Chiffre nicht verfügbar. Wenn nun gewisse 
Warnungen — beispielsweise vor Treibminen — schnell abzusetzen waren, 
nahm sich niemand die Mühe, die Klartexte umzuformulieren. Die Briten 
provozierten gelegentlich solche Vorfälle, um die Geheimtext-Geheimtext- 
Kompromittierung der schwierig zu brechenden Marine-ENIGMA durch die 
inzwischen gebrochene simple Bigrammsubstitution herbeizuführen; mit ih¬ 
rem grimmigem Humor nannten sie das ‘ gardening ’ („Gartenpflege“). 

Nachdem am 7. Mai 1941 durch die Aufbringung des Wetterschiffs München 
der ,Wetterkurzschlüssek in britische Hände gefallen war, ergaben sich aus 
den Wettermeldungen der Unterseeboote laufend zahlreiche ( kisses\ die die 
‘cribs’v on Bletchley Park füllten, und das hielt an bis 1944. Die Bridgespieler 
dort nannten das ‘ cross-ruffs 19 . Die Aufbringung von U-559 am 30. Oktober 

9 Die Alliierten hatten Erfahrung: Ein ‘cross-rufF gelang J.Rives Childs , G.2A.6, A.E.F. 
im Juli 1918 mit dem Telegramm Mackensens über den Rückzug der deutschen Truppen 
in Rumänien. 
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1942 ergab sogar eine Kompromittierung der neuen 4-Rotor-ENIGMA durch 
Wettermeldungen. 

Aber auch die Nebeneinanderverwendung einer Uberchiffrierung von Code 
mit Hilfe eines maschinell erzeugten Einmal-Schlüssels einerseits, eines wie¬ 
derholt verwendeten Additivs andrerseits stellt, wenn letztere Chiffrierung 
bereits gebrochen ist, den ,individuellen‘ Schlüssel bloß und erlaubt die Re¬ 
konstruktion der ihn erzeugenden Maschine. Dieses Mißgeschick widerfuhr 
dem Auswärtigen Amt, das wohl wegen mangelnden Schlüsselnachschubs auf 
der Strecke Berlin-Dublin die FLORADORA-Uberchiffrierung einsetzte, die 
von den Briten (9.2.1) bereits gebrochen war. Der Schlüssel konnte so unter¬ 
sucht werden, es stellte sich heraus, daß er mittels einer umgebauten Lorenz 
SZ40 (die die Briten ebenfalls rekonstruiert hatten) erzeugt worden war. Der 
gesamte für unbrechbar gehaltene Verkehr des AA war damit aufgerollt. 

19.4.2 Im Falle einer Chiffrierung mit VIGENERE-Schritten, insbesondere 
auch für überchiffrierten Code, führt eine Geheimtext-Geheimtext-Kompro- 
mittierung sofort auf eine Klartext-Klartext-Kompromittierung: Man be¬ 
trachtet den Klartext als Schlüssel und die Schlüssel als Klartexte. Damit 
sind die Methoden der Superimposition und der symetrie de position an¬ 
wendbar. Die polyalphabetische Chiffrierung braucht dabei nicht einmal pe¬ 
riodisch zu sein. Voraussetzung für einen Erfolg dieses „Rollenwechsels“ ist 
allerdings, daß die Schlüssel in Prosa sind und Häufigkeitsmerkmale zeigen. 

Beispielsweise seien die folgenden fünf gleichlangen Nachrichten aufgefangen 
worden 
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werden dann in den einzelnen Latten die Differenzen über Z 26 aufgestellt. 
Sechs dieser Aufstellungen zeigen insbesondere Übereinstimmungen in den 
Differenzen 4, 7 und 11, wie Abb. 149 zeigt. Dabei kommt für Latte 18 nur 
die fett angegebene 11 als Summe von 4 und 7 in Frage, in Latte 1 kommt 11 
nicht in Frage, da 11 und 19, das Komplement von 7, in einer Zeile stehen. 

Von den in Latte 36 weiter auftretenden Differenzen finden sich 2 und 9 auch 
in Latte 1 , 2 überdies in Latte 13, 9 in Latte 22. In der Differenzentafel von 
Latte 13 sind die beiden Differenzen 2 in der zweiten Spalte von der Differenz 
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Abb. 149. Sechs Differenzentafeln 


2 in der fünften Spalte zu unterscheiden; eine dieser Differenzen tritt in der 
Latte 22 auf. (Überdies stellt sich heraus, daß die Differenzen 9 und 11 in der 
ersten Zeile von Latte 13 zufällig zustande kommen.) 

Nimmt man nun die erste Latte als Bezugspunkt und rückt die anderen fünf 
Latten aufgrund der festgestellten Differenzen zurecht, so ergibt sich das 
Grundgerüst 
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Dieses Grundgerüst kann nun überprüft werden mittels der Latten 5, 6, 7, 10, 
12, 19, 20, 24, 30, 31, 33, 37, 38: es ergibt sich 
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Das gehäufte Auftreten von vier Zeichen M, T, V, X zeigt, daß wir auf dem 
richtigen Weg sind. 

Die weiteren mehrmals auftretenden Zeichen B, L, A, G, K kann man zur 
Fortsetzung der Differenzenbildung heranziehen. Damit ergibt sich bereits 
für 40 der 44 Latten eine Ausrichtung: 
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Die in den Fußzeilen angegebenen Verschiebungen sind zum Zwischentext 
zu addieren, um den Geheimtext zu ergeben. Sie stellen also selbst eine 
CAESAR-Chiffrierung des Pseudo-Schlüssels (des ursprünglichen Klartextes) 
dar, die da lautet: 

12345 6789 10 1112131415 1617181920 2122232425 2627282930 

AYBAO PZZVW YLJPV B ^ A O H APAUL *KZHI 

3132333435 3637383940 41424344 
VKFNB HYKVM **LZ 

Jetzt ist Exhaustion angezeigt: Von den 26 Verschiebungen gibt die folgende, 
durch Addition von 19 erhaltene, den fragmentarischen englischen Klartext 

12345 6789 10 1112131415 1617181920 2122232425 2627282930 

truth issop recio u*tha titne *dsab 

3132333435 3637383940 41424344 

odygu ardof **es 

der auf Winston Churchill zurückgeht. 10 Die fünf Pseudo-Klartexte (die fünf 
ursprünglichen Schlüssel) können leicht rekonstruiert werden, sie finden sich 
in einem nicht für Kinder geschriebenen „Kinderbuch“: 

“Alice was beginning to get very tired of sitting by he[r sister on the bank...]” 
“ c Curiouser and curiouser!’ cried Alice (she was so much s[urprised ...])” 
“They were indeed a queer-looking party that assemble[d on the bank ...]” 
“It was the White Rabbit, trotting slowly back again , an[d looking ...]” 
u The Caterpillar and Alice looked at each other for so [me time in silence ...]” 

19.5 Eine Methode von Sinkov 

19.5.1 Im Falle periodischer Chiffrierung ist auch bei unabhängigen Alpha¬ 
beten eine Methode von Sinkov anwendbar, die bereits beim Vorliegen von 
zwei Nachrichten mit gleichem Klartext funktionieren kann. 

10 Das komplette Zitat, aus Churchills Autobiographie von 1949, lautet “In war-time, 
thruth is so precious that she should always be attended by a bodyguard of lies” 
(Churchill an Roosevelt und Stalin). 
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Folgendes Beispiel von Sinkov zeigt das Vorgehen: Die beiden aufgefangenen 
Nachrichten aus dem Milieu der U.S. Regierung seien: 
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Da die beiden Geheimtexte gleich lang sind, drängt sich ein Verdacht auf glei¬ 
chen Klartext auf. Zunächst ist aber eine Periodenanalyse angebracht: Sie 
ergibt, daß der erste Geheimtext vermutlich die Periode sechs, der zweite die 
Periode fünf hat. In diesem Fall ist 30 eine beiden (unbekannten) Schlüsseln 
gemeinsame Periode. Damit sollte mit jeder Zeichenkoinzidenz zwischen 
den beiden Texten auch im Abstand von 30 eine Zeichenkoinzidenz auf¬ 
tret en. Tatsächlich zeigt sich in der obigen Aufschreibung in 30 Kolonnen 
eine Übereinstimmung der beiden 12 . Kolonnen und der beiden 15. Kolonnen. 
Diese Beobachtung stärkt die Vermutung, daß beiden Geheimtexten ein und 
der selbe Klartext zugrunde liegt, sehr. Nun ist aber 


12 + 30z 


6 (mod 6 ) 

2 (mod 5) ’ 


15 + 30z 


3 (mod 6 ) 
5 (mod 5) 


Damit steht zu vermuten, daß das 6 . Alphabet der ersten Nachricht mit dem 
2 . Alphabet der zweiten Nachricht und das 3. Alphabet der ersten Nachricht 
mit dem 5. Alphabet der zweiten Nachricht übereinstimmt. Eine Berechnung 
von Chi gibt hohe Werte, die das erhärten. 


Sinkov s Methode zerlegt nun die beiden Nachrichten nach den verwendeten 
Schlüsseln, die mit a , / 3 , 7 , S, e , ( und z, k, A, ju, v bezeichnet werden 
sollen — der Anfang dieser Zerlegung lautet 



1 2 3 4 5 

6 7 8 9 10 

1112131415 

1617181920 

2122232425 

26272829 30 

a 

W 

J 

B 

B 

Y 


ß 

c 
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Q 

L 


B 
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0 

V 

c 


A 

B 

5 

A 

T 


Z 

U 

T 

e 

K 


V 

I 

J 

M 

c 


T 
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V 

N 

T 

z 

T 
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M 

E 

E 

D 

K 
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X 

X 

E 

E 

Y 

A 

H 

V 

H 

Y 

Y 

H 


H 

N 

S 

F 

A 

R 

V 

V 

0 

c 

G 

Q 

K 
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In dieses Diagramm können nun weitere Einträge gemacht werden: Da beide 
Chiffren zum selben Klartext gehören, können die 2 ., die 7. und die 12 . Spalte, 
die übereinstimmend X für den Schlüssel ft zeigen, überlagert werden. 
Ebenso können die 3., die 13. und die 28. Spalte, die übereinstimmend H für 
den Schlüssel A zeigen, überlagert werden, desgleichen die 16. und 21 . Spalte 


(e für den Schlüssel i), 

die 17. und 

22 . Spalte 

(e für den 

Schlüssel ft), 

die 

18. und 23. Spalte (y für den Schlüssel 

A). 

Damit ergibt sich bereits 

folgendes Bild 







12345 6789 10 

1112131415 

1617181920 

2122232425 

26272829 30 

a 

W J B J 

J B 


B 

Y 

B 

ß 

C C Y 

C Q 


L 


B 

7 

O V 

O C 

A 


A 

B O 

ö 

TA T 

T 

Z U 


Z U 

T 

e 

K 

V 

I J 


I J 

M 

c 

X T X 

X 

V 


VN 

T 

i 

T J 

M 

E 


E 

D 

ft 

X X 

X 

E 


E 

Y 

A 

H V 

H 

Y 


Y 

H 

ß 

H N 

S 


F 

A 

R 

V 

V 0 

c 


G 

Q 

K 


Diese Überlagerung erstreckt sich natürlich auf die ganze Länge der beiden 
Nachrichten. In gleicher Weise kann die Überlagerung auch in die Zeilen 
G ft, A, /i, v gehen: Die dreizehnte und die neunzehnte Spalte, die übereinstim¬ 
mend B für den Schlüssel a zeigen, können überlagert werden usw. Insgesamt 
ergibt sich so über die volle Länge 149 der Nachrichten folgende Aufstellung 



1 2 3 4 5 

6 7 8 9 10 

1112131415 

1617181920 

2122232425 

26272829 30 

a 

W J BM 

D J P B 

J B WM 

J N B U 

J N X Y 

L B J D 

ß 

Q C K E X 

C YXK 

C KQ E 

C AK L 

C A 

T 

B K C 

7 

L AOC V 

K AWV 0 

N AO L C 

A ZOG 

A Z 

Q 

S B O A K 


G Z T A F 

Z FT 

Z T G A 

Z UXT I 

Z U X 

L 

T Z 

6 

YMD RK 

FM KD 

VMD YR 

M I J DW 

M I J 

S 

DM F 

C 

I XQ Z D 

T X D Q 

XQ I Z 

XE VQP 

XE VNG 

YQX T 

L 

T E UZ 

J E S Z 

ME TU 

E C Q 

E C HO 

D E J 

ft 

I X Q Z D 

T X D Q 

XQ I Z 

X E V Q P 

XE VNG 

YQX T 

A 

J S H B 

SV H 

I S H J B 

S YHN 

S Y 

M 

AH S 

ß 

S R F H N 

RGN F 

R F S H 

R MF Y 

R MAB 

Q FR 

V 

L AOC V 

K AWV 0 

N AO L C 

A ZOG 

A Z 

Q 

S BO A K 


ABCHD 

E B F D C 

GBC AH 

B I J C K 

B I J L Q 

MN C B E 


3132333435 

3637383940 

4142434445 

4647484950 

5152535455 

56575859 60 

OL 

J B 

YU J B 

P B 

WB J HM 

PWY 

D 

WB J W 

ß 

C GK 

T L G C K 

XX YKX 

QKC E 

YQT 


XQKC Q 

7 

AON 

QG AO 

V VWO V 

LOA C 

WL Q 

K 

V L O A L 

S 

Z T E 

LI ZT 

FF T F 

G T Z E A 

G L 


F G T Z G 

e 

M D P V 

SW MD 

KK DK 

Y DMP R 

Y S 

F 

K YDM Y 
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c 

XHQ 

G P HXQ 

DD QD 

I QX Z 

I G F T 

D I QX I 

t 

E M 

0 Q E 

Z Z S Z 

T E U 

S T O J 

ZT ET 

K 

XHQ 

GPHXQ 

DD QD 

I QX Z 

I G F T 

D I QX I 

X 

S KH 

MNK S H 

VH 

J H S B 

V J M 

J H S J 


R F I 

B Y R F 

NNGFN 

S F R I H 

G S B J 

N S F R S 

V 

AON 

QG AO 

V VWO V 

LOA C 

WL Q K 

V L O A L 

- 

B 0 C P G 

QKOBC 

D D F C D 

A C B P H 

F A Q R E 

D ACB A 


6162636465 

6667686970 

7172 737475 

76 7778 7980 

8182838485 

86878889 90 

a 

NB YD 

J M BW 

YM R J 

Y B N 

N B J W 

M B W 

ß 

AK T 

C E GKQ 

T E UC 

T K A V 

AK C Q 

E KX Q 

7 

Z ONQK 

A C OL 

Q C A 

Q O Z F 

I Z O A L 

C J O V L 

5 

X T L 

ZA TG 

LA Z 

L T X 

XT Z G 

A T F G 

e 

J D V S F 

MR DY 

SR M 

DADJ 

J DMY 

R DK Y 

c 

VQ GT 

X Z HQ I 

GZ X 

G J Q V 

V Q X I 

Z KQD I 

i 

C MO J 

EU T 

0 U E 

O CX 

L C ET 

U ZT 

K 

VQ GT 

X Z H Q I 

GZ X 

G J Q V 

V Q X I 

Z KQD I 

A 

YH I M 

S B KH J 

MB D S 

M HY 

YH S J 

B H J 


MF B 

RH FS 

B H PR 

B FMK 

MF R S 

H F N S 

V 

Z ONQK 

A C OL 

Q C A 

Q O Z F 

I Z O A L 

C J O V L 

- 

J C GQ E 

B H 0 C A 

QH S TB 

QUC J V 

W J C B A 

HXCD A 


9192939495 

9697989900 

0102030405 

0607080910 

1112131415 

16171819 20 

OL 

YN B 

XTUMU 

BM Y 

WL P 

M J UZ 

BWU M 

ß 

T AK 

L E L 

K E J T 

XQ YB 

EC L 

VKQ L E 

7 

Q Z 0 E 

GCG 

NO C Q 

V L BWS 

CA GR 

F O L G C 

6 

L X T S 

I A I 

TA L 

F G 

A Z I 

TG I A 

€ 

S J D H 

WRW 

VD R S 

K Y 

RMOW 

D YWR 

c 

G VQ 

N B P Z P 

Q Z G 

D I Y 

Z X P 

Q I P Z 

£ 

0 C 

H QUQ 

M U O 

ZT SD 

UE Q 

X TQ U 

Kj 

G VQ 

N B P Z P 

Q Z G 

D I Y 

Z X P 

Q I P Z 

X 

MYH 

N B N 

I H B M 

J A V 

B S E N 

H J N B 

V 

BMFT 

A YH Y 

F HXB 

NS GQ 

HR Y 

K F S Y H 

V 

Q Z 0 E 

GCG 

N O C Q 

V L BWS 

CA GR 

F O L G C 

- 

Q J C Y Z 

L 1 KHK 

G C H 2 Q 

DAN FM 

H B 3 K 4 

VC AK H 

i.. 

2122232425 

2627282930 

3132333435 

3637383940 

4142434445 

46474849 

OL 

KWNMW 

NY 

U YO 

U YXM 

U BM J L 

P B U 

ß 

QAEQ 

XATBX 

LT VG 

L X T E 

L K E C 

YK L 

7 

L Z C L 

V Z Q S V 

GQ F I 

G VQ C 

GO C A B 

WOG 

(5 

GX AG 

F X L F 

I L 

I F L A 

I T A Z 

T I E 

e 

Y J R Y 

K J S K 

WS 

WK S R 

WDRM 

DWP 

c 

I V Z I 

D VG D 

P G H 

P DGN Z 

P Q Z X Y 

QP 

t 

A T C U T 

Z C OD Z 

QO X 

Q Z OHU 

Q U E 

S Q 

K 

I V Z I 

D VG D 

P G H 

PDGN Z 

P Q Z X Y 

QP 

X 

J YB J 

YM 

NMU K 

NMB 

NHB S A 

VHN 

V 

S MH S 

NMB Q N 

YB K 

YNB AH 

Y F H R 

G F Y I 

V 

L Z C L 

V Z Q S V 

GQ FI 

G VQ C 

GO C A B 

WOG 

-> 

5 A J H A 

D J QMD 

KQ 6 VO 

KDQ L H 

K C H B N 

F C K P 
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Erwartungsgemäß sind die mit den Schlüsseln ( und k bezeichnten Zeilen 
identisch, desgleichen die mit den Schlüsseln 7 und v bezeichnten 11 . Nicht 
alle Felder sind ausgefüllt, gewisse Spalten wie die achte und die siebzehnte 
könnten eventuell zusammenfallen. In der Tat kommen 32 verschiedene Spal¬ 
ten vor, die in der mit dem Pfeil —► gekennzeichneten Zeile in willkürlicher 
Weise mit den Zeichen A ... Z und l ... 6 bezeichnet werden. 32 Spalten — das 
sind mehr, als zu den höchstens 26 Alphabetzeichen gehören. Gewisse Spalten 
bedeuten also das selbe Klartextzeichen: Wir haben eine monoalphabetische 
Chiffrierung erreicht, aber eine mit Homophonen. Glücklicherweise wird sich 
herausstellen, daß nicht wie es zur Erschwerung der unbefugten Entziffe¬ 
rung gemacht wird — die häuügen Zeichen von der Homophonie betroffen 
sind, sondern gerade die seltenen; sie bieten nämlich mit ihrem seltenen Vor¬ 
kommen nicht genügend Material zur Auffüllung der Felder. 


19.5.2 Die nunmehr erzielte monoalphabetische Chiffre 


ABCHD EBFDC 
BOCPG QKOBC 
J CGQE BHOCA 
QJCYZ L1KHK 
5 A J H A DJ QMD 


G B C A H 
DD F C D 
QH S T B 
G C H 2 Q 
KQ 6 VO 


BUCK BIJLQ MNCBE 
ACBPH FAQRE DACBA 
QUCJV WJCBA HXCDA 
DANFM HB3K4 VCAKH 
KDQLH KCHBN FCKP 


zeigt deutlich die Häuügkeitsverteilung des Englischen, mit einem herausra¬ 
genden C und etwa gleichhäuügen B, A, H, D, O, N . Als Einstiegshilfe mag 
nun dienen das wahrscheinliche Wort /treasurysecretary/ mit dem Muster 
12345627538231427 . Es paßt genau auf den Anfang. Damit hat man mit 
acht Buchstaben schon viel erreicht: 


t r e a s 
r O e P c 
J e c Q u 
Q J e Y Z 
5 t J a t 


u r y s e 
QKO r e 
r a O e t 
L 1 K a K 
s J QM s 


c r e t a 
s s y e s 
Q a S T r 
c e a 2 Q 
KQ 6 VO 


r I J e K 
t e r P a 
QU e J V 
s t N y M 
K s Q L a 


r I J L Q 
y t Q R u 
WJ e r t 
a r 3 K 4 
K e a r N 


MN e r u 
stert 
a X e s t 
V e t K a 
y e K P 


Sofort ins Auge springt das Wort /yesterday/ in der zweiten Zeile, was aber 
nicht viel bringt, und davor das Wort /congress/ . Damit sind vier weitere 
Buchstaben bestimmt und vom etaonirsh fehlen nur noch das /i/ und das 
/h/. Es ergibt sich 


t r e a s 
r g e d c 
J e c o u 
oJeYZ 
5 t J a t 


u r y s e 
o n g r e 
raget 
L 1 n a n 
s J o M s 


c r e t a 
s s y e s 
o a S T r 
c e a 2 o 
n o 6 V g 


r I J e n 
t e r d a 
o U e J V 
s t N y M 
n s o L a 


r I J L o 
y t o R u 
WJ e r t 
a r 3 n 4 
n e a r N 


MN e r u 
stert 
a X e s t 
V e t n a 
y e n d 


Nun bedeutet vermutlich I homophon mit F den Buchstaben /y / , in der 
ersten Zeile liest man dann /henry/ . Mit dem /i/ hat man Schwierigkeiten, 


11 Bei manueller Arbeit wird man diese Zeilen nur einmal anschreiben, bei programmierter 
Durchführung ist es dagegen organisatorisch einfacher, sie zu wiederholen. 
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in der letzten Zeile könnte man /no signs/ lesen, wenn 6 homophon mit D 
den Buchstaben /s/ bedeutete. Jetzt hat man 


t r e a s 
r g e d c 
hecon 
o h e Y Z 
5 t h a t 


u r y s e 
o n g r e 
raget 
L 1 n a n 
s h o M s 


c r e t a 
s s y e s 
o a S T r 
c e a 2 o 
n o s i g 


r y h e n 
t e r d a 
o U e h i 
s t N y M 
n s o L a 


r y h L o 
y t oRu 
Wh e r t 
a r 3 n 4 
n e a r N 


MN e r u 
stert 
a X e s t 
i e t n a 
y e n d 


und liest in der zweiten Zeile /to muster/, in der dritten Zeile /approve higher 
taxes/ (s und T homophon), in der vierten Zeile /help finance a costly war 
in Vietnam/ , womit sich schließlich in der ersten Zeile der Name /henry h 
fowler/ und insgesamt als Klartext ergibt 


t 

r e 

a 
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y 

h 
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r 
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0 

u 

r 
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e 

t 

0 

a p p 

r 

0 

V 

e 

h i 

g 

h 

e r t 

a 

X 

e 

s 

t 

0 

h e 

1 

p 

f 

i n 

a 

n 

c 

e a c 

0 

s 

t 

1 

y w 

a 

r 

i n v 

i 

e 

t 

n 

a 

m 

t h 

a 

t 

s 

h o w s 

n 

o s i 

g 

n 

s 

0 

f a 

n 

e 

a r 1 

y 

e 

n 

d 



Die Chiffriertabelle lautet unter Einbeziehungen der Überlagerungen, die sich 
aus den festgestellten Homophonen ergeben, aber unter Offenlassung der feh¬ 
lenden Buchstaben aus den 32 Spalten werden 21 Zeichen: 



a 

b c d 

e f g h i j 

k 1 mn o p q 

r s tu 

v w x y z 

a 

M 


B X NT 

L KU YR 

J OWD 

Z P 

ß 

E 

J 

K G A V 

L T U 

CXQ 

B Y 


C 

N 

0 I Z F 

B GQ E 

A V L K 

R S J W 

5 

A 

E 

T X 

S I L 

Z F G 

U 

e 

R 

V P 

D JO 

WS H 

MK Y F 

A I 


Z 


QNH VB 

Y F P G 

XD I T 

J KE 

l 

U 

M 

H L C X 

AQO 

E Z T J 

D S 

A 

B 

I 

H K Y E 

A NMD 

S U J 

V 

ß 

H 

X I 

FA MK 

T J Y B P 

RN S 

Q G 


H 

G P 

C L 0 J V 

NRKQ S 

B D A E 

UMX F 

—> 


2 

W 1 

Y 5 T 

6 

4 I 




3 

Z 




19.5.3 Die vollständige Chiffriertabelle kann man gewinnen, wenn es sich 
um verschobene Alphabete handeln sollte. Dies ist tatsächlich der Fall, und 
mit der in 18.8.2 angesprochenen Methode von Friedman gelingt es, das Re¬ 
ferenzalphabet zu rekonstruieren. Zur Entzifferung brauchte man aber von 
dieser speziellen Eigenschaft gar keinen Gebrauch zu machen. 

Zunächst geht Friedman von der begründeten Annahme aus, daß in der zu 
suchenden Chiffriertabelle alle Spalten aus einer einzigen durch zyklische Ver¬ 
schiebung hervorgehen (7.2.1, 8.2.3). Greift man nun etwa die Zeilen A und 
/i heraus, so finden sich in einem noch unbekannten Abstand k unter /t/ die 
Buchstaben J und S , unter /r/ S und R , ferner N und Y , Y und M , M und 
B , B und H , H und F , V und G . Wir haben also bereits drei Ketten 

J-S-R , N-Y-M-B-H-F und V-G 
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von Buchstaben im Abstand k. Aber auch in den Zeilen a und A finden sich 
unter /r/ die Buchstaben J und S; somit stehen im gleichen Abstand k auch 
die Buchstaben W und J, R und D, O und U, U und N, P und V, L und A. 
Die vorhandenen Ketten lassen sich verlängern, neue lassen sich bilden; wir 
haben jetzt 

W-J-S-R-D , O-U-N-Y-M-B-H-F , P-V-G und L-A . 

J und D haben den Abstand 3 k ; in den Zeilen l und a finden sich unter /u/ 
die Buchstaben J und D , also haben nicht nur U und M, O und Y, sondern 
auch C und N, X und T, A und K, Q und U, E und J, Z und O, T und W, S 
und P diesen Abstand. Damit ergeben sich die Ketten 

T-E-*-W-J-S-R-D-P-V-G , Q-C-0-U-N-Y-M-B-H-F-*-X , L-A-*-*-K . 

Der Zusammenschluß dieser Ketten gelingt nun mit der Beobachtung, daß W 
und G , die sich in den Zeilen a und 5 finden, den Abstand 7k haben, damit 
haben diesen Abstand auch J und Z, B und T, M und A, U und I, H und E, 
Y und L, womit sich der Zykel schließt: 

T-E-K-W-J-S-R-D-P-V-G-Z-Q-C-O-U-N-Y-M-B-H-F-I-X-L-A- . 

Dies braucht jedoch, vgl. 18.8.1, noch nicht die ursprüngliche Reihenfolge zu 
sein. Bildet man potenzierte Zyklen, so wird man mit der fünften Potenz 

T-S-G-U-H-A-J-V-O-B-L-W-P-C-M-X-K-D-Q-Y-I-E-R-Z-N-F- 

fündig; die Folge 

HAJ VOBLWPCMXKDQYI ERZNFTSGU 

ergibt sich — spaltenweise — aus dem Kennwort HOPKINS durch die in 3.2.5 
beschriebene Methode: 

H O P K I NS 
A B C D E F G 
J L M Q R T U 
V W X Y Z 

Mit dieser Folge bildet man eine tabula recta. Zur Bestimmung der Kopf¬ 
zeile verfährt man folgendermaßen: Eine „fette“ Zeile wie die mit y = v 
bezeichnete lautet umgeordnet 

rxselty a u o gpvhci wn 
7 = 1/ HAJ VOBLWPCMXKDQYI ERZNFTS GU 

Die anderen bisher betrachteten Zeilen fügen sich ein und legen weitere Klar¬ 
textzeichen fest. Man erhält insgesamt eine permutierte Kopfzeile 

*rxselty*afmu*o*gpvhci *wnd 

die lediglich noch nicht die fünf fehlenden, seltenen Klartextzeichen /b/, /j/, 
/k/, /q/, /z/ umfaßt. Diese Kopfzeile verrät schließlich auch ihr Kennwort: 
Sie entsteht mit der Konstruktion von 3.2.5 aus dem Kennwort /johns/ . 
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j o h n s 

a b c d e 

f g i k 1 

m p q r t 

u v w x y 

z 


Damit sind auch die noch fehlenden Klartextzeichen erfaßt. Die sich er¬ 
gebende Chiffriertabelle (tabula recta) zeigt Tabelle 26. Sie fällt unter das 
Stichwort dreifache Chiffrierung 6 (8.2.3). Die Kennwörter /johns/ and HOP¬ 
KINS zur Bildung der Alphabete sind offensichtlich eine Anspielung auf Johns 
Hopkins (1795-1873), amerikanischer Finanzier und Philanthrop . 12 
Die Schlüssel sind passenderweise CIPHER und GROUP , wie man aus 


m Eingängen für aß^5e( 

und 

lk\ fllZ 

in Tabelle 26 entnehmen kann, 
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Tabelle 26. Chiffriertabelle mit permutierter Kopfzeile 


12 An der Johns Hopkins University in Maryland, U.S.A. wurde im 2. Weltkrieg die ‘pro- 
ximity fuze\ ein Geschoß mit Näherungszünder, entwickelt. 
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19.6 Geheimtext-Geheimtext-Kompromittierung: 
Indikatorverdopplung 

“The double encipherment of euch text-setting was a gross error ” 

Gordon Welchman 1982 

Die Polen waren für den hohen Standard ihrer kryptanalytischen Fähigkeiten 
bekannt: Sie hatten mit Hilfe von unbefugten Entzifferungen 1920 den Krieg 
gegen Rußland gewonnen. 

Wie Wladyslaw Kozaczuk erst 1967 aufdeckte, 13 ermöglichte ein geradezu 
typischer Fall einer Geheimtext-Geheimtext-Kompromittierung ab 1932 dem 
polnischen Biuro Szyfröw (Major Gwido Langer , ‘Luc’) mit seinem Dechif¬ 
frierdienst B.S.-4 unter Hauptmann Maksymilian Ciqzki (1899-1951) und den 
jungen, aus zwei Dutzend Mathematikstudenten ausgewählten Mitarbeitern 
Marian Rejewski , Henryk Zygalski , Jerzy Rözycki das Eindringen in die Chif¬ 
frierung der deutschen Wehrmacht. (Funksprüche wurden in den östlichen 
Provinzen Preußens übungshalber reichlich in den Äther gesetzt.) 

Der Ansatz lag zunächst in einer typischen Schwäche der üblichen Schlüssel¬ 
verwaltung für Chiffriermaschinen mit eigenem Schlüsselerzeuger (8.5): Weil 
es zu schwierig und fehleranfällig war, für jede Verbindung eine individu¬ 
elle Ausgangsstellung (,Grundstellung‘) der an ihr beteiligten zwei Chiffrier¬ 
maschinen vorzusehen, die außerdem jeweils nach relativ kurzer Zeit hätte 
gewechselt werden müssen, führte man (vgl. 19.3.1) Spruchschlüssel ein 
(engl, indicator , hier spezifisch text-setting , message-setting) . Für den 
ENIGMA-Verkehr geschah dies folgendermaßen: Mit einem für den betref¬ 
fenden Tag gültigen allgemeinen ,Tagesschlüssek, der die Reihenfolge der drei 
Rotoren (,Rotorenlage‘), die interne ,Ringstellung‘ auf jedem einzelnen Rotor, 
die Steckerverbindung und eine allgemeine Grundstellung der drei Roto¬ 
ren beinhaltete, wurde vom Sender als Spruchschlüssel eine 3-Buchstaben- 
Gruppe frei gewählt und chiffriert abgegeben (chiffrierter Spruchschlüs¬ 
sel, engl, [encrypted] indicator), die vom Empfänger dechiffriert wurde und 
für den anschließenden Spruch sender- wie empfängerseitig als Ausgangsstel¬ 
lung der drei Rotoren diente. 

Die Chiffrierung des Spruchschlüssels durch die ENIGMA selbst konnte als 
besonders kluger Einfall gewertet werden; tatsächlich wäre es besser gewesen, 
ein eigenes Chiffrierverfahren für den Spruchschlüssel vorzusehen — wie es 
seit 1941 mit einer Bigramm-Chiffrierung für die 4-Rotor-ENIGMA der Ma¬ 
rine geschah — aber seine bedingte Offenlegung wurde von den Deutschen als 
unbedenklich angesehen, da die ROTOR-Chiffrierung als unüberwindbar galt. 
Niemand schien den circulus vitiosus zu bemerken. 

13 Sein Buch Bitwa o tajemnice (in polnischer Sprache) wurde im Westen nicht beachtet. 
Immerhin erschien 1967 eine Rezension in einer Göttinger Zeitschrift. Auch hat schon 
1968 Donald C. Watt (“Breach of Security” , London 1968) darauf hingewiesen, daß 1939 
Großbritannien von Polen ENIGMA-Maschinen und -Chiffrier unter lagen erhielt. 
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Diese Sicherheit in Zweifel ziehend, gelang es dem polnischen Dienst zunächst 
trotzdem nicht, den 1930 einsetzenden ENIGMA-Funkverkehr mitzulesen, 
obwohl er sich mit dem Arbeitsprinzip der kommerziellen ENIGMA (7.3.2), 
die auf dem offenen Markt war, seit 1926 vertraut gemacht hatte. (Die in¬ 
neren Verbindungen der Rotoren in der militärischen ENIGMA I von 1930 
waren anders als in der kommerziellen Ausführung.) Der Einbruch gelang 
schließlich an einer weiteren Schwachstelle: Weil man im störungsanfälligen 
Funkverkehr nicht sicher sein konnte, daß der Spruchschlüssel korrekt über¬ 
tragen würde, übertrug man ihn zweifach — die tückische Vorliebe für kurze 
Verdopplungen (11.1.5) tobte sich auch hier aus. Hätte man das Chiffrat 
zweimal nacheinander übertragen, so wäre nicht zu vermeiden gewesen, daß 
dies dem Gegner auffallen würde und er den Charakter der Spruchschlüssel¬ 
gruppe erkennen und darauf seinen Angriff richten würde. So glaubte man, 
den Spruchschlüssel erst verdoppeln und dann chiffrieren zu müssen — und 
handelte sich damit eine viel schwerer wiegende Geheimtext-Geheimtext- 
Kompromittierung ein; eine winzige zwar, aber an einem festen Platz. All 
dies war nicht der ENIGMA-Maschine selbst anzulasten, aber den Regeln 
für ihren Betrieb. Die Spruchschlüsselverdopplung war auch betrieblich nicht 
unbedingt nötig: Als sie am 1. Mai 1940 aufgegeben wurde, lief der ENIGMA- 
Verkehr trotzdem ungestört weiter. 

Die schrullige Idee der Verdoppelung des Spruchschlüssels scheint übrigens 
auf Empfehlungen von 1924 für die kommerzielle ENIGMA zurückzugehen. 
Der polnische Dienst hatte überdies rasch herausgefunden, daß zwei Sprüche, 
die mit der selben 6-Buchstaben-Gruppe begannen, eine erhöhte Zeichenko¬ 
inzidenz nahe aufwiesen, also superimposition erlaubten. Somit war durch 
die erste 6-Buchstaben-Gruppe die Ausgangsstellung der Rotoren festgelegt. 

19.6.1 Frankreich I. Hilfe kam für die Polen aus Frankreich. Der bis 1938 
in der Chiffrier-Stelle des Reichswehrministeriums tätige Spion Hans-Thilo 
Schmidt (1888-1943, mit Decknamen ASCHE, Asche, frz. H.E. ), der 23.3.1943 
entdeckt und angeblich im Juli hingerichtet wurde (Selbstmord 19.9.1943), 
hatte seit Oktober 1931 Gebrauchsanleitungen, Schlüsselanleitungen und so¬ 
gar Tagesschlüssel für September und Oktober 1932 (samt der Ringstellungen 
und Steckerverbindungen für diese beiden Monate) über den Agenten ‘Rex’ an 
den französischen Chiffrierdienstchef ‘Bolek’, den damaligen Major Gustave 
Bertrand verraten, der das Material an den polnischen Dienst weitergab. 

19.6.2 Polen I. Cigzkis junger Mitarbeiter, der geniale 14 Marian Rejewski 
(1905-1980) hatte nun jedenfalls herauszufinden, wie man daraus Nutzen 

14 Marian Rejewskis intuitive Fähigkeiten werden durch folgende Episode beleuchtet: Bei 
der kommerziellen ENIGMA waren die Kontakte auf dem Eingangsring in der Reihen¬ 
folge der Buchstabenanordnung auf der Tastatur belegt. Das schien bei der militärischen 
ENIGMA I nicht so zu sein. Rejewski sagte sich, „die Deutschen setzen auf Ordnung“, 
versuchte es mit der alphabetischen Reihenfolge (s. 7.3.2) — und gewann. Der britische 
Kryptanalyst Knox, der sich über diese Frage seit langem den Kopf zerbrochen hatte, 
erfuhr die Lösung erst im Juli 1939 von Rejewski , der berichtete u Knox was furious when 
he learned how simple it was”. 
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ziehen konnte. Folgt man dem Bericht von Kozaczuk (1984), so ging er fol¬ 
gendermaßen vor: Er vermutete, daß die ihrem Sinn nach frei zu wählenden 
Sprnchschlüssel gewisse charakteristische Abweichungen von der Gleichvertei¬ 
lung aufwiesen nicht viel anders als die vom Publikum tatsächlich benutz¬ 
ten Lottozahlen. (Die Anweisungen der Deutschen zur Chiffriersicherheit 
waren in diesem Punkt mangelhaft; so konnte sich ein Nachrichtenoffizier, 
der den Befehl gegeben hatte, als Spruchschlüssel jeweils die Endstellung der 
Rotoren nach dem vorangegangenen Spruch zu nehmen, darauf hinausreden, 
er habe ja dafür gesorgt, daß der Spruchschlüssel stets gewechselt wurde.) 
Tatsächlich kamen als Spruchschlüssel häufig vor stereotype Dreiergruppen 
wie aaa, bbb , sss . Als die reine Buchstabenwiederholung Frühjahr 1933 von 
den Deutschen explizit verboten wurde, war es zu spät. Außerdem kam jetzt 
die einige Zeit anhaltende Unsitte auf, waagrecht, senkrecht und diagonal auf 
dem Tastenfeld zu tippen: qwe, asd (horizontal!), qay, cde (vertikal!) etc., 
womit weiterhin die von Rejewski entdeckte Einbruchmöglichkeit bestand. 
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Abb. 150. 65 aufgefangene chiffrierte Spruchschlüssel zum gleichen Tagesschlüssel 

19.6.2.1 Mit Pi, P 2 , P 3 , P 4 , P 5 , Pß (bei Rejewski A, P, C, P, P, P) seien die 
Permutationen bezeichnet, denen bei fester Grundstellung die 1 ., 2 ., 3., ... 6 . 
Zeichen unterliegen. Aus a Pi =x und aP ^ + 3 =Y (i = 1,2,3) folgt, daß 
xP i ~ 1 Pi + 3 =Y . Der echt involutorische Charakter der ENIGMA-Chiffrierung 
war aber den Polen bekannt. Damit folgt aus a Pi =X und aPi + 3 =Y 
(i = 1,2,3), daß xP^Pi + 3 =Y . Die bekannten, an jeweils 1. und 4., 
2. und 5., 3. und 6 . Stelle des Chiffrats stehenden Zeichen X, Y legen also die 
drei Produkte PiPi +3 der unbekannten Permutationen fest. 

Abb. 150 zeigt 65 chiffrierte verdoppelte Spruchschlüssel. Aus ihnen ent¬ 
nimmt man für P 1 P 4 , daß das Zeichen a in sich übergeht (nrl.), ebenso 
das Zeichen s (nr35.). Ferner geht das Zeichen b in c über und umgekehrt 
(nr 2 ., nr4.), ebenso das Zeichen r in w und umgekehrt (nr30., nr53.). 
Von den übrigen Zeichen findet man, daß sie unter P 1 P 4 in den Zyklen 
(dvpfkxgzyo) (etwa nr 5., nr 49., nr 27., nr 7., nr 17., nr 57., nr 8., 
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nr 63., nr 61., nr 26.) und (e i j m u n q 1 h t) (etwa nr 6 ., nr 12., nr 15., 
nr21., nr48., nr23., nr28., nrl9., nr9., nr45.) liegen. Es handelt sich 
also um zwei Einerzyklen, zwei Zweierzyklen und zwei Zehnerzyklen. Die 
Zyklenbestimmung ist vollständig möglich, sobald jedes Zeichen an 1., an 
2 . und an 3. Stelle mindestens einmal aufgetreten ist; in der Regel ist das 
der Fall, sobald fünfzig bis hundert Sprüche vorliegen — das warf ein heißer 
Manövertag schon ab. Insgesamt ergibt sich 

P\Pa— (a) (s) (b c) (r w) (d v p f k x g z y o) (e i j m u n q 1 h t) 
P 2 P 5 — (a x t) (b 1 f q v e o u m) (c g y) (d) (h j p s w i z r n) (k) 
P^Pq= (abviktjgfcqny) (duzrehlxwpsmo) 

Die Einerzyklen 15 (engl, uniliteral cycle ) spielen eine besondere Rolle: Da 
die einzelnen Substitutionen Pi, P 2 , P 3 , P 4 , Pq und Pq wegen ihres echt in- 
volutorischen Charakters nur aus Zweierzyklen bestehen, wird PiPi +3 ein 
Zeichen x genau dann als Einerzyklus haben, wenn es ein Zeichen y gibt der¬ 
art, daß sowohl Pi wie P ^ + 3 das Paar (x y ) als Zweierzyklus haben. P\ wie 
P 4 enthalten also den Zyklus (a s). Ein Satz der Gruppentheorie über echt 
involutorische Permutationen P M (bei geradem Alphabetumfang N) besagt 
nun, daß die Zyklen von PiPi +3 in Paaren gleicher Länge auftreten: 

Wenn Pi die Zweierzyklen (aq^/i), (# 22 / 2 )? •.., {x ß y ß ) enthält, 

und Pi +3 die Zweierzyklen ( 1/1 x 2 ), ( 2 / 2 ^ 3 )? • •., (y^i) enthält, dann 

enthält gPj +3 die /x-Zyklen (xix 2 ... x ß ), (y^y^-i ... y\) . 

Schreibt man also einen der /i-Zyklen von PiPi +3 in revertierter Reihenfolge 
(<—) an, so stehen die Paarungen zu Zweierzyklen von Pi und P ^ + 3 direkt 
bzw. schräg übereinander: 

( X X X 2 . • .Xp-iXp ) 

( yiy2 ---y ß -iy ß ) • 

Wie nun die Zyklen aneinander zu heften sind, verbleibt als Frage. 

19.6.2.2 Hier brachte Rejewski erstmals ein Häufigkeitsargument ins Spiel. 
Wenn man die Faulheit der Chiffrierer richtig einschätzt, dann müßte die 
fünfmal (nr 35. - nr 39.) auftretende identische Gruppe SYX SCW dem 
gängigsten Spruchschlüssel aaa entsprechen. Das legt in P\ den Zweier¬ 
zyklus (a s), in P 2 den Zweierzyklus (a y), in P 3 den Zweierzyklus (a x) fest, 
sowie in P 4 den Zweierzyklus (a s), in P 5 den Zweierzyklus (a c), in P 6 den 
Zweierzyklus (a w) . Damit steht für P 3 und Pq bereits die Paarung der 
beiden Teilzyklen 
1 

—>(abviktjgfcqny) 

<— ( x 1 h e r z udoms pw) 

fest; explizit kann man, mit (a x) beginnend, auch im Zickzack die Zweierzyk¬ 
len (‘swappings’) von P 3 und Pq ausrechnen: 

15 In den Jargon von Bletchley Park übernahm man den von dem polnischen Wortspiel 
te same („die selben“) - samiczka („Weibchen“) herrührenden Ausdruck i female\ Die 
meisten Leute in Bletchley Park kannten diesen Ursprung nicht und erklärten sich das 
Jargonwort anders, etwa mit female screw (Schraubenmutter). 
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P 3 = (a x) (b 1) (v h) (i e) (k r) (t z) (j u) (g d) (f o) (c m) (q s) (n p) (y w) 

P 6 = (x b) (1 v) (h i) (e k) (r t) (z j) (u g) (d f) (o c) (m q) (s n) (p y) (w a) 

P 3 enthält insbesondere auch den Zyklus (q s). Somit hat der Spruchschlüssel 
zu nr 1 . AUQ AMN die Gestalt **s ; da P\ den Zyklus (as) enthält, hat er 
sogar die Gestalt s*s . Wenn man jetzt noch errät, daß der Spruchschlüssel 
zu nr 1 . sss lautet, so ist in P 2 neben (a y) auch (s u) festgelegt. Damit 
steht auch die Paarung für die Teilzyklen von P 2 und P 5 

1 1 

->( ax t) (b 1 fqveoum)(d) 

( yg c ) (j nhr z iwsp) (k) 

fest; es ergeben sich im Zickzack die Zweierzyklen von P 2 und P 5 : 

P 2 = (a y) (x g) (t c) (b j) (1 n) (f h) (q r) (v z) (e i) (o w) (u s) (m p) (d k) 

P 5 = (y x) (g t) (c a) (j 1) (n f) (h q) (r v) (z e) (i o) (w u) (s m) (p b) (k d) 

Betrachtet man ferner noch die viermal (nr 30. - nr 33.) identisch auftretende 
Gruppe RJL WPX , so muß ihr Spruchschlüssel die Gestalt *bb haben. P\ 
kann nur die Zweierzyklen (r b) oder (r c) haben; im ersteren Fall ergibt 
sich der wahrscheinlichere Spruchschlüssel bbb . Damit ist auch für die 
Festlegung von P\ und P 4 die Paarung der Zweierzyklen (b r) bzw. (r c) 
bestimmt. Um auch die Zehnerzyklen richtig zu paaren, muß eine weitere 
Gruppe herangezogen werden, etwa (nr 19. - nr 20.) LDR HDE . Da P 3 und 
P 6 (r k) bzw. (k e) enthalten, sowie P 2 und P 5 (d k) bzw. (k d), muß der 
Spruchschlüssel die Gestalt *kk haben. Das legt die Stereotype kkk nahe, 
aus der sich ergibt, daß P\ und P 4 die Zweierzyklen (1 k) bzw. (k h) enthalten. 
Damit ist überdies die Paarung der Zehnerzyklen erledigt, es ergibt sich 
1 1 

—► ( a) (bc) (dvp fkxgzyo) 

<— ( s)(rw)(i ethlqnumj) und damit 

Pi= (a s) (b r) (c w) (d i) (v e) (p t) (f h) (k 1) (x q) (g n) (z u) (y m) (o j) 

_P 4 = (s a) (r c) (w b) (i v) (e p) (t f) (h k) (1 x) (q g) (n z) (u y) (m o) (j d) 

Insgesamt erhält man also für die ersten drei Permutationen in geordneter 
Form 

Pi = (a s) (b r) (c w) (d i) (e v) (f h) (g n) (j o) (k 1) (m y) (p t) (q x) (u z) 

P 2 = (a y) (b j) (c t) (d k) (e i) (f h) (g x) (1 n) (m p) (o w) (q r) (s u) (v z) 

P 3 = (a x) (b 1) (c m) (d g) (e i) (f o) (h v) (j u) (k r) (n p) (q s) (t z) (w y) 

19.6.2.3 Die Entzifferung aller Spruchschlüssel ist damit auch geleistet 
(Abb. 151); die schlechten Angewohnheiten der ENIGMA-Chiffrierer führten 
nicht nur zu mehrfachem Gebrauch von identischen Spruchschlüsseln, sie wer¬ 
den besonders augenfällig, wenn man die Liste der Spruchschlüssel auf der 
Tastatur der ENIGMA (Abb. 152) betrachtet: Nur zwei von vierzig, nämlich 
abc und uvw, sind nicht völlig stereotyp, aber auch nicht sonderlich phan¬ 
tasievoll. 



416 19 Kompromittierung 


AUQ AMN 

sss 

IKG 

JKF 

ddd 

QGA 

LYB 

XXX 

VQZ 

PVR 

ert 

BNH CHL 

rfv 

IND 

JHU 

dfg 

RJL 

WPX 

bbb 

WTM 

RAO 

ccc 

BCT CGJ 

rtz 

JWF 

MIC 

OOO 

RFC 

WQQ 

bnm 

WKI 

RKK 

cde 

CIK BZT 

wer 

KHB 

XJV 

111 

SYX 

SCW 

aaa 

XRS 

GNM 

qqq 

DDB VDV 

ikl 

LDR 

HDE 

kkk 

SJM 

SPO 

abc 

XOI 

GUK 

qwe 

EJP IPS 

vbn 

MAW 

UXP 

yyy 

SUG 

SMF 

asd 

XYW 

GCP 

qay 

FBR KLE 

hjk 

NXD 

QTU 

ggg 

TMN 

EBY 

PPP 

YPC 

OSQ 

mmm 

GPB ZSV 

nml 

NLU 

QFZ 

ghj 

TAA 

EXB 

pyx 

ZZY 

YRA 

uvw 

HNO THD 

fff 

OBU 

DLZ 

jjj 

USE 

NWH 

zui 

ZEF 

YOC 

uio 

HXV TTI 

fgh 

PVJ 

FEG 

tzu 

VII 

PZK 

eee 

ZSJ 

YWG 

uuu 


Abb. 151. Die 40 verschiedenen Spruchschlüssel entziffert 


QWERTZUI O 
ASDFGHJK 
PYXCVBNML 

Abb. 152. Tastatur der ENIGMA 

19.6.2.4 Im Januar 1933 gelang den jungen polnischen Mathematikern die 
erste Entzifferung deutscher Funksprüche. Das polnische Büro lernte sicher 
nicht viel aus dem semantischen Inhalt der Ubungssprüche. Wichtiger war, 
daß nun die innere Verdrahtung der Rotoren aufgedeckt werden konnte. Da 
die Analyse auf sechs Zeichen am Anfang beschränkt war, wurde im wesentli¬ 
chen nur der „schnelle“ Rotor Rn (ganz rechts sitzend) bewegt, die übrigen 
ENIGMA-Rotoren blieben in 20 von 26 Fällen unbewegt. Das, zusammen 
mit ASCHEs Material, genügte Jerzy Rözycki (1909-1942), um auch die in¬ 
nere Verdrahtung des jeweiligen Eingangsrotors zu rekonstruieren, und da 
die Rotorenlage damals alle Vierteljahre (ab 1936 monatlich, später täglich) 
wechselte, kam auch jeder Rotor in den Genuß der polnischen Untersuchung. 
Mit der Verfügbarkeit aller Spruchschlüssel ein und des selben Tages ließ sich 
der gesamte aufgefangene ENIGMA-Verkehr mit von den Polen nachgebau¬ 
ten Maschinen dechiffrieren. 

19.6.2.5 Um auch die Grundstellung des Tagesschlüssels zu rekonstruieren, 
machten sich die Polen zunutze, daß die Zyklenlängen in den drei P^P ^3 von 
der Wahl der Steckerverbindung T unabhängig sind. Den geläufigen Satz aus 
der Theorie der Permutationsgruppen (vgl. 7.2.4) 

S und TST~ 1 haben übereinstimmende Zyklenstruktur (‘ characteristic 1 ) 

hat Deavours plakativ the theorem that won World War II genannt. Die 
Anzahl verschiedener Zyklenaufteilungen ist wegen der Paarigkeit gleich der 
Anzahl der Partitionen von 13 und beträgt 101; für die 6 x 26 x 26 x 26 ^ 10 5 
Grundstellungen reichen drei solche Partitionen — im obigen Beispiel sind es 
die Charakteristiken 10+2+1, 9+3+1, 13 — im allgemeinen zur eindeuti¬ 
gen Charakterisierung aus. Rejewski, unterstützt von Rözycki und Zygalskp 
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stellte mit Hilfe der rekonstruierten ENIGMAs nun einen Katalog auf, der 
zu allen Grundstellungen die Partition der Zyklen enthielt. Wichtig war, daß 
diese Untersuchung von der gewählten Steckerverbindung unabhängig war. 
Um sie zu mechanisieren, wurde in der Fabrik AVA in der Stepinska-Straße 
ein ,Zyklometer 6 genanntes Gerät gebaut. Das Biuro Szyfröw hatte 1937 
den Katalog fertig; die Tagesschlüssel waren damit in 10 bis 20 Minuten zu 
lösen. 16 

19.6.2.6 Als Problem verblieb, die Ringstellung herauszufinden. Das exhau- 
stive Vorgehen konnte wesentlich erleichtert werden durch eine Beobachtung, 
die Rejewski schon 1932, dank des Materials von ASCHE, gemacht hatte: daß 
die meisten Klartexte mit /anx/ begannen — wobei /x/ als Ersatz für Zwi¬ 
schenraum diente. Nach Kerckhoffs ’ Maxime mußte man damit rechnen, daß 
die Maschine kompromittiert war; um so unvernünftiger war es, einen stereo¬ 
typen Anfang zuzulassen. Dieser triviale Fall einer Klartext-Geheimtext- 
Kompromittierung (vgl. 14.4) wird in 19.7 wieder aufgegriffen werden. 

19.6.3 Polen II. All diese Erfolge waren nur möglich dank des echt invo- 
lutorischen Charakters der Rotorchiffrierung der ENIGMA; die Umkehrwalze 
von Scherbius und Korn erwies sich als grandiose complication illusoire. Die 
Chiffriermaschinen von Boris Hagelin litten nicht unter diesem Mangel. Aber 
auch die in Amerika nachgebaute M-209 wurde von den Deutschen ab 1942 
in Nordafrika gebrochen. 

19.6.3.1 1938 verschärfte sich die Situation. Die Deutschen änderten näm¬ 

lich am 15. September 1938 die Chiffriervorschrift und führten am 15. Dezem¬ 
ber 1938 einen vierten und einen fünften Chiffrierrotor ein, was zu sechzig 
möglichen Rotorenlagen, statt bisher sechs, führte. 

Mit der letzteren Komplikation wurden die Polen rasch fertig, denn es kam 
ihnen ein glücklicher Zufall zu Hilfe. Der SD ^Sicherheitsdienst 6 ) hatte den 
Einfall, seine Funksprüche erst mit einem einfachen Verfahren von Hand zu 
chiffrieren, bevor sie mit der ENIGMA chiffriert wurden — man wollte sich 
offenbar von den ENIGMA-Chiffrierern nicht in die Karten schauen lassen. 
Die Polen konnten die ENIGMA-Chiffrierung zwar abstreifen, erzielten aber 
damit einen ,sinnlosen 6 Text. Sie dachten zunächst an das nächstliegendste, 
daß der SD ein besonderes, ein anderes Chiffrierverfahren verwende. Als 
aber 1937 eines Tages in dem Gestammel das klar lesbare Wort /eins/ auf¬ 
tauchte, erkannte man den wahren Sachverhalt: Der ENIGMA-Chiffrierer 
hatte einen Text bekommen, der versehentlich die Ziffer 1 enthielt und hatte 
diese — was sollte er sonst tun — als Klartext /eins/ eingegeben. Die einfa¬ 
che Chiffrierung des SD konnte B.S.-4 unschwer abstreifen und somit Sprüche 
des SD lesen. Der SD änderte nun im September 1938 die Chiffriervorschrift 

16 Die Polen hatten vorher auch die ,Raster-Methode‘ ( metoda rusztu, engl, grill method, 
grid method, grate method ) benutzt. Sie war ‘ manual and tedious 5 (Rejewski ) und 
nur brauchbar, solange wenige Steckerverbindungen (bis 1.10.1936 deren sechs) benutzt 
wurden. Man konnte damit die Ringstellung des „schnellen“ Rotors herausfinden. Details 
wurden 1979, 1980 von Jözef Garlihski und 1980, 1981 von Marian Rejewski publiziert. 
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nicht, führte aber im Dezember 1938 den vierten und fünften Rotor ein. 
Damit kamen auch diese Rotoren unter Beobachtung und nach kurzem waren 
ihre inneren Verbindungen aufgedeckt. Das Nebeneinander zweier zweier 
Chiffrierverfahren, von denen das eine als kompromittiert zu gelten hatte, 
war ein schwerer Fehler. 

19.6.3.2 Es verblieb, mit der neuen Chiffriervorschrift, die bis Ende April 
1940 galt, zurechtzukommen. Diese benutzte nicht mehr die selbe Grundstel¬ 
lung für den ganzen Tag, sondern der Chiffrierer sollte willkürlich für jeden 
Spruch seine eigene wählen. Diese wurde unchiffriert dem Funkspruch voran¬ 
gestellt, sodann folgte der (immer noch verdoppelte 17 ) Spruchschlüssel (plain 
indicator ), chiffriert mit dieser individuellen Grundstellung. Beginnt also ein 

Spruch mit RTJWA HWIK. , so ist rtj die Grundstellung, WAH WIK ist 

der mit dieser Grundstellung chiffrierte Spruchschlüssel, wofür wir im folgen¬ 
den rtj | WAH WIK schreiben werden. Mit der Grundstellung rtj ermittelt 
der Dechiffrierer aus WAH WIK den verdoppelten Spruchschlüssel (von dem 
also feststeht, daß er das Muster 123123 haben muß); mit der ersten Hälfte 
des dechiffrierten Spruchschlüssels (dem plain indicator ) als Grundstellung 
dechiffriert er den restlichen Spruch. 

Da die Ringstellung und die Rotorenlage unbekannt waren, konnte der Geg¬ 
ner mit der vorangestellten Grundstellung unmittelbar nichts anfangen: Der 
Suchraum enthielt noch 1054 560 Fälle (26 3 Ringstellungen, 6 Rotorenlagen, 
ab Dezember 1938 10 Auswahlen von 3 Rotoren aus 5). 



hpl + 3 


Abb. 153. Funktionsweise einer polnischen bomba (Herbst 1938) 


17 Die Chiffrierung des verdoppelten Spruchschlüssels wurde nach Peter Twinn für die 
4-Rotor Abwehr-ENIGMA bis Ende des Krieges beibehalten. 
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19.6.3.3 Immerhin war das ein Fall für eine Mustersuche, und zwar nach 
dem Muster 123123 noch galt ja die Spruchschlüsselverdopplung. Eine 
Mechanisierung dieser sehr mühevollen Arbeit lag nahe. Rejewski ließ noch 
im Oktober 1938 bei AVA sechs Maschinen bauen, die die sechs Rotorenla¬ 
gen simulierten, und spielte auf jeder die 17576 Ringstellungen durch, wozu 
man maximal 110 Minuten brauchte. Die ,richtige 6 Ringstellung fand man 
unter Benutzung der Einerzyklen folgendermaßen: Man baute die Maschine 
aus drei Paaren von ENIGMA-Rotorensätzen auf; in jedem Paar waren die 
Stellungen der Rotorensätze um drei Positionen versetzt, die Stellung der Ro¬ 
torensätze des ersten Paars war gegen die des zweiten Paares um eine Position 
versetzt und die des zweiten Paares gegen die des dritten Paares ebenfalls um 
eine Position. Sobald genügend Material vorlag, um über drei chiffrierte ver¬ 
doppelte Spruchschlüssel zu verfügen, von denen der erste an der ersten und 
vierten Stelle, der zweite an der zweiten und fünften Stelle, der dritte an 
der dritten und sechsten Stelle ein und den selben Buchstaben — etwa den 
Buchstaben W in 

rtj | WAH WIK 
dqx | DWJ MWR 
hpl | RAW KTW 

und damit nach 19.6.2.1 einen Einerzyklus (,Fixpunkt 6 ) aufzeigte war ein 
erfolgversprechender Angriff (Abb. 153) möglich: Man startete nun die Ma¬ 
schine mit den drei Voreinstellungen rtj, dqx und hpl , wiederholte ständig 
die Eingabe des Testbuchstabens W und hatte nur abzuwarten, bis sich in 
jedem der drei Paare jeweils ein gleicher Buchstabe einstellte, also das Muster 
123123 gefunden war. Eine solche Koinzidenz führte über eine einfache 
Relais-Schaltung zum Anhalten der ganzen Apparatur, die die Polen wegen 
ihres Aussehens bomba nannten. 18 Gelegentlich gab es auch falschen Alarm. 

Die bomba war gegen Steckerverbindungen empfindlich; die Methode funk¬ 
tionierte nur, wenn der Testbuchstabe (im obigen Beispiel w) „ungesteckert 66 
war. Die Wahrscheinlichkeit dafür lag bei Verwendung von fünf bis acht 
Steckern bei 50% . (Hätte man dagegen drei verschiedene Fixpunkte verwen¬ 
det, wie es die Briten ursprünglich vorsahen, wäre die Wahrscheinlichkeit auf 
12.5% zurückgegangen.) 

Nach dieser Ermittlung der Ringstellung konnte man durch Vergleich der 
chiffrierten verdoppelten Spruchschlüssel mit den auf der ENIGMA-Replik 
(mit den ermittelten Ringstellungen) angezeigten Chiffrierungen auch die 
Steckerverbindung rekonstruieren. Damit waren alle Sprüche des betreffen¬ 
den Tages (später der betreffenden Acht-Stunden-Schicht) aus dem jeweiligen 
,Netz 6 (es gab im Krieg bis zu 120 solche Netze) bloßgestellt. 

19.6.3.4 Eine andere Art der Mechanisierung entwickelte im Herbst 1938 
Henryk Zygalski (1907-1978): Ein Lochblattverfahren ( 6 card catalog’) zur Er¬ 
mittlung der Tagesschlüssel aus etwa zehn bis zwölf (beliebigen) Fixpunkten. 

18 Nach Lisicki ursprünglich Bezeichnung für eine Eistorte („Eis-Bombe“ )• 
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Abb. 154. Zygalski-Lochblatt K^ 3 für Rotorenlage IV-I-III, Lochungen zeigen mögliche 
Fixpunkte (Einerzyklen) von PiP 4 für Grundstellung (Rl)(Rm){Rn) ,{Rl) — k. 


Für 6 Rotorenlagen wurde bezüglich P\P±, P 2 P 5 oder P%Pq festgestellt, ob für 
eine Grundstellung ( Rl)(Rm){Rn) von Rl , Rm , Rn irgendein Einerzyklus 
überhaupt möglich ist. Für jeden der 26 Buchstaben (Rl) wurde dies in einer 
(Rm) x (Riv)-Matrix durch eine Lochung (‘female’) festgehalten (Abb. 154); 
grob gerechnet traten 40% Löcher auf. Durch Übereinander legen der je¬ 
weiligen, entsprechend der Grundstellung (Rm)(Rn) verschobenen Blätter 19 
wurde die mögliche Ringstellung bestimmt; in der Regel eindeutig, sobald 
ungefähr zehn bis zwölf Fixpunkte verfügbar waren. Das Verfahren war un¬ 
abhängig von der Steckerverbindung und war damit auch noch brauchbar, als 
(ab 19.8.1939) zehn Stecker benutzt wurden so lange jedenfalls, als die 
Spruchschlüsselwiederholung anhielt. Es ist eine Ironie, daß die Deutschen, 
die stets versucht hatten, durch geeignete Vorschriften zur Chiffriersicherheit 
eine Kerckhoffssche Superimposition unmöglich zu machen, nun Opfer einer 
Kette von Vorgehensweisen wurden, die (19.6.1) durch eine banale Schwach- 
steile eingeleitet wurde. 

19 Tatsächlich wurden, um volle Überdeckung zu ermöglichen, Blätter von 51x51 Feldern, 
die durch waagrechte und senkrechte Duplikation entstanden, benutzt. 
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19.6.4 Großbritannien . Schon am 9. Januar 1939, bei einem Besuch in 
Paris, hatte der polnische Oberstleutnant Karol Gwido Langer (1884-1951) 
seine französischen Kontakte durch Fühlungnahme mit seinen britischen Kol¬ 
legen abgerundet. Mit steigender Kriegsgefahr war weitere Zusammenarbeit 
angezeigt. An einem Treffen am 25. Juli 1939 in Warschau nahmen neben 
Dilly Knox, dem führenden britischen Kryptanalysten im Foreign Office, sei¬ 
nem Chef Alastair Denniston 20 , dem Leiter der Government Code and Cy- 
pher School (GC&CS) und dem geheimnisvollen Cdr. Humphrey Sandwith 
(‘Mr. Sandwich’) auch Commandant Bertrand und Capitaine Braquenie teil. 
Die Polen, mit Major Cigzki , Langer , dem Grand Chef Oberst Stefan Mayer 
und den jungen mathematischen Mitarbeitern Rejewski , Zygalski , Rözycki 
zeigten ihnen in Pyry, im Süden Warschaus, stolz alle ihre Ergebnisse. Bei 
diesem Treffen bekamen sowohl die Franzosen wie die Briten auch polnische 
Repliken der ENIGMA mit allen fünf Rotoren. Die Gäste waren überwältigt. 

Die Briten hatten seit der Krise, die zum Münchner Abkommen vom Herbst 
1938 führte, eine Ausweichmöglichkeit ihres unter der Adresse 56 Broadway 
(Whitehall), Westminster geführten, als ‘ Room 47 ’ des Foreign Office be¬ 
kannten Dienstes ins Auge gefaßt, und zwar in Bletchley Park (kurz BP, 
Deckname ‘Station X’), rund 80 km nördlich von London. Seit dem Beginn 
der zum Krieg führenden Spannungen dort fest angesiedelt, benutzten die 
Briten nun ab Anfang Januar 1940 die polnischen Lochblattverfahren; die 
Lochblätter nannten sie ‘ canvasses ’ oder nach John Jeffreys , der ihre Herstel¬ 
lung zu überwachen hatte, ‘Jeffreys sheets ’. Für die polnische bomba - die 
Briten sprachen später ebenfalls von ‘bomb’ war jedoch eine Weiterent¬ 
wicklung angezeigt, um sechzig statt sechs Rotorlagen durchzuspielen. 

Oliver Strachey 21 hatte den jungen Alan Mathison Turing , der sich bereits 
als Logiker einen Namen gemacht hatte, der aber von Kindheit an an Chif¬ 
frierung interessiert war, mehrfach in Kontakt mit Alfred Dillwyn Knox 22 
gebracht, einem Altphilologen, der schon 1915 den ‘ Room 4ff der Royal Navy 
dem Fellow des Kings College in Cambridge vorgezogen hatte und der sich 
bisher erfolgreich nur mit der kommerziellen ENIGMA ohne Steckerbrett, die 
die Italiener und Spanier benutzten, herumgeschlagen hatte (14.5). 

Mit Kriegsbeginn begann Turing dort seine Arbeit. Unter ihm und etwas 
später dem Mathematiker Gordon Welchman (1906-1985) wurden die polni¬ 
schen Bomben weiterentwickelt, wobei Turing auf seine Erfahrungen mit Re¬ 
laisschaltungen — er hatte (5.7.3) in Princeton 1937 einen Relais-Multiplizie¬ 
rer entworfen und prototypisch gebaut zurückgreifen konnte. Turing war 
nicht nur von Kindheit an und inzwischen auch theoretisch an der Kryptologie 
interessiert; er hatte auch schon Kontakte zur Government Code and Cypher 


20 Denniston wurde Mitte 1940 abgelöst, sein Nachfolger wurde Edward Travis. 

21 Oliver Strachey, Ehemann der Feministin Ray Strachey und Vater des Informatikers 
Christopher Strachey, ersetzte 1941 in kanadischen Diensten den ehemaligen U.S. Major 
Herbert Osborne Yardley, der in den Vereinigten Staaten in Ungnade gefallen war. 

22 Knox erlag am 27. Februar 1943 einem Krebsleiden. 
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School , möglicherweise bis 1936 zurückreichend, und hatte im Sommer und 
um Weihnachten 1938 — Denniston sorgte vor — dort Kurse besucht. 

Im Januar 1940 brach Bletchley Park unter Verwendung von Zygalski-Loch- 
blättern erstmals ENIGMA-Schlüssel, darunter die Tagesschlüssel vom 6. 
und 17. Januar der achtlos funkenden Luftwaffe. Das Schlüsselnetz, in das 
sie einbrachen, nannten die Briten RED. Das war der Anfang. 

19.6.4.1 Als Turing Mitte Januar 1940 den nach Frankreich geflüchteten 
Rejewski in Gretz-Armainvilliers, südöstlich von Paris von Paris, traf, war er, 
Rejewski zufolge, sehr interessiert an den polnischen Erkenntnissen über die 
Behandlung der Steckerverbindungen. Er erzählte den Polen jedoch nicht, 
wie weit er schon gekommen war (s. 19.7). Es lag nahe, daß Turing bestrebt 
war, die polnische bomba wie die Zygalski-Blätter gegen Steckerverbindun¬ 
gen unempündlich zu machen, da die Deutschen Schritt für Schritt weniger 
„ungesteckerte“ Buchstaben verwendeten.. 

Die Polen waren bei der bomba im wesentlichen dem elektrischen Aufbau der 
ENIGMA gefolgt, der über den Umkehrrotor einen hin- und zurücklaufenden 
Strompfad vorsah. Solange nur jeweils eine Alphabettaste gedrückt wurde 
und nur eine Lampe aufleuchten sollte, war diese Idee recht praktisch. Turing 
wollte sich jedoch im Herbst 1939 vor allem von der Einengung auf die weni¬ 
gen verbliebenen „ungesteckerten“ Testbuchstaben frei machen. Durch eine 
26-adrige Verbindung sollte, wie Joan Murray nee Clarke (1917-1996) sich er¬ 
innert, ein schnelleres und zielstrebigeres, paralleles ‘simultaneous scanning’ 
aller 26 Möglichkeiten des Testbuchstabens erreicht werden. Turing ersetzte 
also die Rotor-Reflektor-Anordnung durch einen Vertauscher ( Welchman : 
1 double-ended scrambler\ U.S. Jargon ‘ commutator\ ‘straight-through ro- 
tor’) aus sechs Rotoren, der eine 26-adrige Eingangsseite und eine 26-adrige 
Ausgangsseite hatte, im übrigen aber die klassische ENIGMA-Substitution 
Pi = SiUS~ l nachbildete, die der Uten Stellung der drei Rotoren der An¬ 
ordnung entsprach, dem Tten von insgesamt 26 3 Zuständen. Dabei war, 
wegen des involutorischen Charakters der ENIGMA-Substitution, ein solcher 
Vertauscher symmetrisch bezüglich Eingangs- und Ausgangsseite aufgebaut. 



Abb. 155. Hypothetische Turing-Version einer polnischen bomba 

(mit ‘simultaneous scanning ’) — Schaltung einer der drei Schleifen 

Die polnische bomba lief in dieser Turingschen Version einer BOMBE auf drei 
geschlossene Schleifen von je zwei Vertauschern hinaus, von denen Abb. 155 
eine zeigt. Turing war es damit gelungen, die Uberchiffrierung durch die 
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Steckerbrettsubstitution maschinell abzustreifen: Er erkannte, daß die Einer¬ 
zyklen, die besagten females der Zygalski-Blätter, die natürlich Fixpunkte 
einer Abbildung waren, auch durch einen rückgekoppelten Iterationsprozeß 
bestimmt waren, der normalerweise divergierte und damit anzeigte, daß die 
betreffende Rotorenstellung keinen Fixpunkt erlaubte; wenn er nicht diver¬ 
gierte, lieferte er Fixpunkte. Der Logiker Turing , dem der Gebrauch der 
doppelten Verneinung (,reductio ad absurdum 6 ) geläufig war, wandte sich 
damit dem allgemeineren Prinzip der Rückkopplung zu. 

Technisch geschah die Unterscheidung der beiden Fälle durch ein Testre- 
gister, das an die 26-adrigen Verbindungsleitungen der Rückkopplung (von 
#4 nach #1) angeschlossen war; die zum Testbuchstaben (w in unserem 
Beispiel) gehörige Leitung wurde unter Spannung gesetzt. Im Divergenzfall 
leuchteten alle Lampen des Testregisters auf. Im Fall eines Fixpunktes war 
die zugehörige Rückkopplungsschleife galvanisch getrennt vom Rest der Zu¬ 
sammenschaltung; dementsprechend leuchtete genau eine Lampe (die zu W 
gehörige), wenn die Stecker Verbindung getroffen war, andernfalls alle Lampen 
bis auf eine. 

Eine Batterie von Vertauschern sollte simultan fortgeschaltet werden können. 
Turing wäre damit auch in der Lage gewesen, durch geeignete Zusammen¬ 
schaltung von Vertauschern die Wirkungsweise der polnischen bomba nach¬ 
zubilden. Die Entwicklung verlief jedoch anders, nämlich allgemeiner (19.7). 

Bereits im letzten Vierteljahr 1939 bekam Bletchley Park die Genehmigung, 
von der British Tabulating Machine Company in Letchworth eine BOMBE 
zum Brechen der ENIGMA bauen zu lassen. Die Leitung übernahm Harold 
‘Doc’ Keen mit einer Mannschaft von zwölf Leuten. Die Turing-BOMBE 
entstand in erstaunlich kurzer Zeit, sie war im Frühjahr 1940 einsatzbereit. 

Welchman kam übrigens im Herbst 1939, als er sich noch in der Schulung 
befand, unabhängig zu ähnlichen Gedankengängen, obwohl er zunächst mit 
der maschinellen ENIGMA-Entzifferung nicht betraut war. Er erfand dabei 
auch die Lochblätter von Zygalski wieder nicht wissend, daß John Jeffreys 
in einem anderen Gebäude schon an ihrer Herstellung arbeitete. Ebensowenig 
wußte er zunächst von Turings Absichten — er brauchte das auch nicht zu 
wissen. 

19.6.4.2 Turing hat möglicherweise bereits vor dem Treffen in Pyry daran 
gedacht, wahrscheinliche Wörter zum Brechen der ENIGMA heranzuziehen. 
Nach diesem Treffen, das ihm die polnische bomba offenbarte, wandte er wohl 
seine Gedanken verstärkt der Mechanisierung seiner Methode zu. Der Haupt¬ 
vorteil der Turing-BOMBE war, daß sie nicht nur, wie die Zygalski-Blätter, 
die Rotorenlage fand, sondern auch mindestens eine Steckerverbindung. 

Die Briten waren jedenfalls Anfang 1940 so tief in die Details der ENIGMA 
und der Gewohnheiten der Deutschen eingedrungen, daß sie auch auf den 
erwarteten nächsten Schlag vorbereitet waren: Als nämlich am l.Mai 1940, 
kurz vor dem Beginn des Feldzugs in Frankreich, die Deutschen bei Heer 
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und Luftwaffe von der Verdoppelung des Spruchschlüssels abgingen 23 und 
damit die bisherigen Methoden nicht nur die polnischen Bomben, sondern 
auch die Zygalski-Jeffreys-Blätter — wertlos wurden. Da inzwischen das Sy¬ 
stem offen lag, konnte man hoffen, die gewünschten Rückkopplungen mittels 
Klartext-Geheimtext-Kompromittierung zu bekommen — die Vorliebe der 
Deutschen für stereotype Wendungen wie /Wettervorhersage biskaya/, /Wet¬ 
tervorhersage deutsche bucht/ etc., oder /Obersturmbannführer/, Obergrup¬ 
penführer/ etc., oder /keine besonderen ereignisse/ war nur zu gut bekannt. 
Der Prototyp ‘Victory’ der Turing-BOMBE wurde am 18. März 1940 instal¬ 
liert. Ab 8. August 1940 folgten die ersten regulären spider : ‘Agnes’, ‘Jumbo’, 
‘Fünf’, ... ; ‘Ming’ war am 26. Mai 1941 fertig. Mehr darüber in 19.7. 

“It was he [Türing] who first formulated the principle of mechanizing a search 
for logical consistency based on a ‘probable word’ ” ( Andrew Hodges). Turing 
hatte überdies die britische BOMBE in einer Weise entworfen, die ein uni¬ 
verselles Arbeiten ermöglichte. 

19.6.4.3 Wenn aber die Suche mittels wahrscheinlicher Wörter vergeblich 
blieb, bestand immer noch die Möglichkeit einer phasenrichtigen Superimpo- 
sition (19.3). Dazu wurden Parallelstellen gesucht; die verwendete Methode 
wurde ‘ banburism ’ genannt, weil die dazu benutzten l-aus-26-Lochblätter 
in Banbury, einer Kleinstadt nahe Oxford, hergestellt wurden. Turing ent¬ 
wickelte dazu eine Bewertung der Parallelstellen (‘ weight of evidence ’) in ei¬ 
ner logarithmischen Einheit [ban], die ein dezimales Gegenstück zur binären 
Informationseinheit [bit] von Claude Shannon war, 1 [ban] = 2 log 10 [bit]. 
1 [deciban] « 0.332 [bit] war in Bletchley Park eine praktische Einheit. 

Turing und Shannon waren in ihren Vorgehensweisen voneinander unabhän¬ 
gig, die beiden trafen sich erst gegen Ende 1942. “Turing and I never tal- 
ked about cryptography” (Claude Shannon). Es könnte sehr wohl sein, daß 
man in Bletchley Park bis Juli 1941 den Kappa-Test nach Friedman (17.1) 
oder den Phi-Test nach Kuliback (17.5) nicht kannte; wie Turing seine ‘repe- 
tition frequency (in seinem Treatise on the Enigma , geschrieben im Spätsom¬ 
mer oder Frühherbst 1940) fand, ist bisher unklar geblieben. 

‘ banburism’ war eine Vervollkommnung der Methode, die schon die Polen 
benutzt hatten (,Uhrzeigermethode‘ von Jerzy Rözycki 24 ). Die Ausrichtung 
(‘alignment’) der Chiffrate ergab die Differenz der Phasenlagen der unchif- 
frierten Spruchschlüssel. Damit war wenigstens der jeweilige schnelle Rotor 
Rn (dessen Grundstellung durch die dritte Stelle des Spruchschlüssels be¬ 
zeichnet wird) zu bestimmen, was die Arbeit mit den Bomben sehr vereinfach¬ 
te. Deavours und Kruh geben dazu folgendes Beispiel: Aus etlichen phasen¬ 
richtig ausgerichteten Paaren von aufgefangenen Sprüchen ergaben sich für 
die 3. Stelle des chiffrierten Spruchschlüssels folgende beobachtete Werte: 

23 Die Kriegsmarine verwendete keine Verdopplung, sondern überchiffrierte einen völlig 
frei gewählten Spruchschlüssel und eine je nach dem Schlüsselnetz aus einer Liste aus¬ 
zuwählende Kenngruppe mit einer Bigrammsubstitution (4.1.2). 

24 Rözycki kam am 9. Januar 1942 beim Untergang des Schiffes Lamoriciere ums Leben. 
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erster Spruch RF DTNMKBMN 

zweiter Spruch FKYYQQOYCK 

Differenz der Phasenlage mod. 26 07 12 04 02 14 21 06 11 06 03 

Diese Daten schließen sich zu zwei Ketten mit Ausgangslagen für R und D: 

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 

R Q FM CNK O 

D T Y B 

Fährt man an der ersten Kette mit dem Klartextalphabet entlang, so kommt 
eine Involution, nämlich (k n) zustande für folgende Lage: 

abcdefghi i k lmnopq r s t uvwxyz 

FM CNK OR Q 

Alle Möglichkeiten für Involutionen ausnützend, erhält man die Hülle 

abcdefghij k lmnopqr s t uvwxyz 

FJMB CNDKTYUOR Q 

die mit der zweiten Kette in geeigneter Lage, nämlich 
B D T Y 

verträglich ist. Damit sind vierzehn Anfangsstellungen des schnellen Rotors 
aufgeklärt. Für die Rotoren I bis V konnte so die Lage der Nut (8.5.3) 
festgestellt werden und damit, welcher Rotor als „schneller“ Rotor eingesetzt 
war. Damit konnte in der polnischen bomba und der britischen BOMBE die 
Anzahl der durchzuspielenden Rotorlagen stark reduziert werden. 

19.6.5 Frankreich II. Rejewski, Zygalski und Rözycki konnten beim Zu¬ 
sammenbruch Polens nach Rumänien flüchten, sie wurden von den Franzosen 
,gerettet‘ und nach Frankreich gebracht, wo sie Ende September 1939 unter 
Commandant Bertrand im Chateau de Vignolles bei Gretz-Armainvilliers 
(Deckname L Poste de Commandement Bruno’), 50 km südöstlich von Paris, 
die französischen Dechiffrierer verstärkten. Bis zum deutschen Angriff auf 
Frankreich im Mai 1940 wurden dort mittels Zygalski-Lochblättern, die aus 
Bletchley Park geliefert wurden, von der ,Gruppe Z‘ fast gleichviel ENIGMA- 
Funksprüche gebrochen wie in BP, hauptsächlich Heeresverwaltung (GREEN, 
erstmals um den 17.1.1940 der Tagesschlüssel vom 28.10.1939) und Luftwaffe 
(RED, erstmals um den 25.1.1940 der Tagesschlüssel vom 6.1.1940), sowie 
nach der Invasion Norwegens die des Fliegerführer Trondheim (YELLOW). 
Nach dem Zusammenbruch Frankreichs (,Fall Gelb 4 ) wurde P.C. Bruno zu¬ 
nächst am 24. Juni 1940 nach Oran in Algerien verlegt, im Oktober 1940 aber 
zurückverlegt nach dem Chateau des Fouzes bei Uzes (Deckname L Cadix ’) im 
unbesetzten Teil Frankreichs. Da die Zygalski-Blätter seit 1. Mai 1940 nutzlos 
geworden waren, mußten sich Polen wie Briten zunächst mit Cillis und Herivel 
tips (19.7) durchschlagen. Die von den Briten ‘Expositur 3000‘ genannte, vom 
polnischen Oberstleutnant Langer geführte Einheit mußte am 9. November 
1942, nach der Landung der Alliierten in Nordafrika, flüchten. Rejewski und 
Zygalski erreichten nach einigen Umwegen über Gibraltar am 3. August 1943 
London, wo sie weiter kryptanalytisch arbeiteten Bletchley Park mit den 
Turing-Bomben und den Colossi blieb ihnen jedoch verschlossen. 
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19.7 Klartext-Geheimtext-Kompromittierung: 
Rückkoppelpläne 

Das ENIGMA-System war für die Briten im Mai 1940 praktisch offengelegt. 
Die Idee der Rückkopplung, die man dank Turing (und Welchman ) seit Ende 
1939 verfolgte, und die Geräte, die man ab Frühherbst 1940 in Bletchley Park 
verfügbar hatte, waren, wie gesagt, zu dem Zweck geeignet, auf wahrscheinli¬ 
che Wörter zu prüfen, also eine Klartext-Geheimtext-Kompromittierung auf¬ 
zusuchen. Damit wurde methodisch der Ansatz wieder aufgenommen, den 
schon 1932 Rejewski (vgl. 19.6.2.4) benutzt hatte. Systematisch gehörte des¬ 
halb der folgende Abschnitt eigentlich an den Schluß des Kapitels 14. 

Die Briten sahen die Notwendigkeit vor sich, täglich das Menü für die Suche 
mit Hilfe geeigneter ‘ cribs ’ von wahrscheinlichen Wörtern zu bereiten. Un¬ 
terstützt wurden sie zwischenzeitlich durch fortgesetzte Verstöße auf deut¬ 
scher Seite gegen die einfachsten Regeln der Chiffriersicherheit. John Heri- 
vel fiel im Mai 1940 auf, daß beim Schlüssel Wechsel die neue Grundstellung 
häufig nahe an der vorher eingestellten Ringstellung lag oder gar mit ihr 
übereinstimmte (‘ Herivel tip ’) eine Folge schlampiger Hantierung. Außer¬ 
dem hielt der Gebrauch stereotyper Spruchschlüssel an — die Briten reih¬ 
ten sie unter der Rubrik ‘CHlis’ ein. 25 Wiederum war der Schaden bereits 
angerichtet, als es der deutschen Überwachung allmählich gelang, die Chif¬ 
frierfehler einzudämmen. Übrigens war die Luftwaffe des verblendeten, groß¬ 
sprecherischen Emporkömmlings Hermann Göring am nachlässigsten in der 
Chiffriersicherheit. Die Mathematiker und Philologen von Bletchley Park 
konnten schon ab 26. Mai 1940, bevor die BOMBE benutzbar war, regelmäßig 
den ENIGMA-Verkehr der Luftwaffe (Schlüsselnetz RED) brechen, während 
sie mit den Sprüchen der Kriegsmarine Schlüsselnetz DOLPHIN „Heimi¬ 
sche Gewässer“, später „Hydra“) erst ab Juni 1941 einigermaßen zurecht¬ 
kamen. Im Dezember 1940 gelang auch der Einbruch in den Funkverkehr der 
SS (Schlüsselnetz ORANGE), ab September 1941 war Rommels ENIGMA- 
Verbindung mit Berlin gebrochen. Ab 1942 erzielten die Briten tiefe und an¬ 
haltende Einbrüche, vor allem bei der heftig funkenden Luftwaffe (Schlüssel¬ 
netze WASP des Fliegerkorps IX, GADFLY des Fliegerkorps X, HÖRNET 
des Fliegerkorps IV, SCORPION des Fliegerführer Afrika). Am widerspen¬ 
stigsten erwies sich nach britischen Angaben der von gut ausgebildeten Leu¬ 
ten diszipliniert geführte Funkverkehr innerhalb des Heeres: Vor Frühjahr 
1942 wurde keine einzige ENIGMA-Verbindung des Heeres (außer einer in 
Rußland, Schlüsselnetz VULTURE I) bloßgestellt. 

19.7.1 Turing und parallel Welchman verwendeten statt der drei isolierten, 
zweigliedrigen Zyklen der polnischen bomba ein ganzes System von rückge¬ 
koppelten Maschen, gebildet aus zunächst 10, später 12 Vertauschern. Ihre 


25 Gelegentlich als ‘sillies’ interpretiert. Welchkman: ‘I have no idea how the term arose’. 
Hierunter fällt auch der Fehler, als Spruchschlüssel die Grundstellung zu wählen, von 
den Briten (Dennis Babbage) JABJAB genannt. 
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Technik der Rückkoppelpläne für die Vertauscher erinnert den Informa¬ 
tiker heute sehr an Ubergangsdiagramme der Automatentheorie. Folgendes 
Beispiel 26 geht im Kern auf Cipher A. Devours und Louis Kruh zurück. 

Als wahrscheinliches Wort sei /oberkommandoderwehrmacht/ vermutet. Es 
soll gegen den Geheimtext 

OVRLJ BZMGE RFEWM LKMTA WXTSW VUINZ GYOLY FMKMS GOFTU EIU... 
geprüft werden. Nach 14.1 kann nicht jede Lage Vorkommen, da kein Zeichen 
durch das selbe Zeichen chiffriert werden kann. Von den nicht allzuvielen 
verbleibenden Lagen, insbesondere am Anfang oder am Schluß, soll eine aus¬ 
gewählt und überprüft werden. Das ergibt den Ansatz (die ‘crifcb) 

123456789 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 
obe r kommandode rwe hrmac ht 
OVRLJBZMGERFEWMLKMTAWXTSWVUINZGY 

mit 24 Vertauschern, die von #1 bis #24 numeriert sind. 



Abb. 156. Ausschnitt aus dem Übergangsgraphen für Beispiel 
ober ko mma n d o d e r we h r ma c h t 
Z M G E R F E WM LKMTA WX T S WV U I N Z 

Die 24 Übergänge Klartextzeichen-Geheimtextzeichen können in einen ge¬ 
richteten Graphen komprimiert werden, von dem ein interessierender, ver¬ 
maschter Ausschnitt in Abb. 156 wiedergegeben ist. Der echt involutorische 
Charakter der Chiffrierung drückt sich in einer Ergänzung zu einem ungerich¬ 
teten Graphen aus. Daraus mag ein Teilgraph (im Jargon ein Menü ) benützt 
werden für eine rückgekoppelte Verschaltung einer Turing-BOMBE, wie sie 
Abb. 157 zeigt. Jeder Zyklus in dieser Schaltung bedeutet eine Rückkopplung; 
ein Menü mit 6 Buchstaben und 4 Zyklen ist natürlich „schmackhafter“ als 
eines mit 12 Buchstaben und einem Zyklus, denn es ließ weniger Fehltreffer 
zu. Entsprechend den 10 ausgewählten Übergängen werden 10 Vertauscher 
mit 26-adrigen Leitungsschnüren verbunden, und das Testregister wird an¬ 
geschaltet, sagen wir an dem zentralen Knoten £. An einer gewissen Ader, 
etwa e, wird Spannung angelegt. 


26 Rotorlage IV I H, Umkehrwalze B. Ringstellung 000, 

Steckerverbindungen VO WN CR TY PJ QI. Spruchschlüssel tgv . 
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Abb. 157. Turing-BOMBE für Beispiel /oberkommandoderwehrmacht/ 
(26-adrige Verbindungen) 

Die Stellungen 14, 9, 7 bilden eine ,Schleife ‘ (‘ closure ’); es gilt (die inne¬ 
ren Kontakte seien mit a,b,c,.. .y, z bezeichnet, T bezeichne die Stecker¬ 
verbindung, Pi die durch den Vertauscher bewirkte Substitution) 

eT = mTP 7 , mT = aTPg , aT = eTP\ 4 , und damit eT = eTP\^P§P 7 . 
eT ist also ein Fixpunkt von P14P9P7 . 

Aber auch die Stellungen 4, 15, 8, 7 bilden eine Schleife; es ist zwar zunächst 
eT =rTP 4 , wT = rTP\^ , wT = mTP$ , eT — mTP 7 ; 
da aber die Substitutionen involutorisch sind, ist auch 

eT — rriTP 7 , mT = wT P 8 , wT = rPPis , rT = ePP 4 , somit 
eT = eTP<±Pi 7) P%P 7 . eT ist also auch ein Fixpunkt von P 4 P 15 P 8 P7 . 

Ferner bilden auch die Stellungen 4, 5, 11, 13, 17 eine ,Schleife‘; es gilt nach 
geeigneten Involutionen 

eT =rTP± , rT = kTP b , VT = dTP n , dT = tTP 13 , tT = eTP 17 . 

Damit hat auch P17P13P11P5P4 den Fixpunkt eT . 
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Angenommen, die Rotorstellung sei nicht die ,richtige‘. Dann breitet sich, 
durch die Rückkopplung, die Spannung meistens wenn nämlich genügend 
viele Schleifen vorliegen — lawinenartig in einer Vielzahl von Durchläufen 
aus; es werden dadurch nacheinander alle Ausgänge ebenfalls unter Span¬ 
nung gesetzt, die dort angebrachten Lämpchen leuchten alle auf. Das ist der 
Widerspruchsfall, der anzeigt, daß die Stellung falsch ist. 

Nun sei angenommen, die Rotorstellung ist die ,richtige‘, die selbe, mit der 
chiffriert wurde (wobei also im Beispiel der Vertauscher #4 rT=/ r/ in eT= E 
überführt). Dann gibt es zwei Unterfälle: Wenn die Steckerbrettsubstitution 
richtig getroffen ist der unter Spannung gesetzte Eingang e tatsächlich 
/e/ ist — breitet sich die Spannung nur in einem Durchlauf aus und läßt 
außer der zu e gehörigen keine Lampe des Testregisters aufleuchten. Eine 
Relais-Vergleichsschaltung bringt die Maschine zum Anhalten; die Bediener 
können die Stellung notieren und die weitere Entzifferung versuchen. Ist das 
aber nicht der Fall, so breitet sich, durch die Rückkopplung, in der verbleiben¬ 
den Schaltung die Spannung wieder meistens ■- wenn nämlich genügend viele 
Schleifen vorliegen lawinenartig aus; es leuchten dadurch alle Lämpchen 
auf, bis auf eines, das die richtige Steckerbrettsubstitution anzeigt. Auch 
dann läßt man die Maschine anhalten. Hat man Glück, ist im Haltefall eine 
passende Rotorenlage gefunden es kann allerdings auch ein Fehltreffer sein. 
Das entscheidet sich schnell, wenn man versuchsweise die weitere Umgebung 
des Chiffrats mit dieser Einstellung entziffert. 

Die Möglichkeit dieses Turingschen Rückkopplungsangriffs (‘cycie me- 
thod ’) wurde von Gisbert Hasenjäger, dem für die Sicherheit der ENIGMA 
zuständigen 23-jährigen Mann im Referat IVa, Sicherheitskontrolle eigener 
Schlüsselverfahren ( Karl Stein ) der Chiffrierabteilung Chi des OKW, nicht 
gesehen. Dieser Angriff ist, wie oben gezeigt, stark durch den echt involutori- 
schen Charakter der ENIGMA-Chiffrierung begünstigt, würde aber auch für 
nicht-involutorische Vertauscher funktionieren; beispielsweise für die Schleife 

7 9 14 

m a e 

EM A 

aber solche Schleifen treten erheblich seltener auf. Es müßten also erheblich 
längere wahrscheinliche Wörter herangezogen werden, oder mehr Stellungen, 
wie Z und ö in Abb. 156. Dort könnte beispielsweise das Menü auch durch 
U, verbunden mit A, oder durch V, verbunden mit A4 , ergänzt werden. Das 
würde aber die Anzahl der erforderlichen Vertauscher erhöhen. 

19.T.2 Gordon Welchman verbesserte Turings Rückkoppelpläne ganz ent¬ 
scheidend, indem er alle Beziehungen, die durch den involutorischen Charak¬ 
ter des für die ENIGMA typischen Steckerbretts (3.2.2) Zustandekommen, 
explizit berücksichtigte. 

Wenn Turings BOMBE anhielt, so waren den einzelnen Koppelpunkten wie 
A, V, £, IC usw. gewisse innere Kontakte zugeordnet. Abb. 158 zeigt eine 
solche Halte-Konfiguration, die zwei „ungesteckerte“ Zuordnungen A-a , £-e 
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aufweist. Die beiden Zuordnungen V-t, T-d weisen auf eine Steckerverbin- 
dung t-d hin. Die beiden Zuordnungen W-m und M-x widersprechen jedoch 
der involutorischen Eigenschaft der Steckerverbindung. Die BOMBE hätte in 
einer solchen Konfiguration gar nicht anhalten sollen, die Sichtbarmachung 
des hier auftretenden Widerspruchs müßte in die BOMBE eingebaut werden. 



Abb. 158. Unzulässige Halte-Konfiguration 


Welchman fand im November 1939 eine einfache schaltungsmäßige Realisie¬ 
rung einer solchen Hüllenbildung hinsichtlich der Involution, das in Abb. 159a 
auftretende ‘ diagonal board\ Zu seiner Wirkungsweise sei auf Abb. 159b ver¬ 
wiesen: Es gilt beispielsweise eT = dT P 11 P 5 P 4 . Der Ausschnitt aus der 
Schaltung zeigt, wie etwa neben die durch die Vertauscher zustande kom¬ 
mende galvanische Verbindung von e im Bus £ mit d im Bus V durch das 
diagonal board eine feste galvanische Verbindung von d im Bus £ mit e im 
Bus V tritt. 

Erst Welchmans Verbesserung brachte den Rückkopplungsangriff von Turing 
zur vollen Wirksamkeit und erhöhte die Effizienz der Suche drastisch. Bedeu¬ 
tend weniger Schleifen waren bereits in der Lage, das Testregister aufzufüllen. 
Das sparte nicht nur Vertauscher, sondern erlaubte auch kürzere Menüs und 
erhöhte dadurch die Chance, daß der mittlere der drei Rotoren unbewegt 
blieb. Welchman ist so der eigentliche Held der ENIGMA-Geschichte in BP. 

Devours und Kruh (1985) formulierten es so, daß es Hasenjäger trösten mag: 
“It is doubtful that anyone eise would have thought of Welchman’s idea 
because most persons, including Turing, were initially incredulous when 
Welchman explained his concept”. 

19.7.3 Die Zusammenschaltung der Vertauscher mitsamt dem Testregister 
und dem diagonal board nannten die Leute in Bletchley Park wie die Polen 
‘Bombe’, ohne sich tiefere Gedanken über Herkunft des Namens machen zu 
können. Die erste reguläre Turing-Welchman-Bombe (nach dem Prototyp 
‘Victory’, der noch kein diagonal board aufwies) nannte man ‘Agnes’ 27 , sie 


27 Turing hatte sie ursprünglich ‘Agnus’ getauft. 
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Abb. 159a. Turing-Welchman-BOMBE für Beispiel /oberkommandoderwehrmacht/ 
(26-adrige Verbindungen) 

war Mitte August 1940 betriebsbereit und brauchte etwa 15 Minuten für eine 
vollständige Durchmusterung einer Walzenlage. Im Frühjahr 1941 arbeiteten 
8 Bomben (‘Ming’: Ende Mai 1941), Ende 1941 deren 12. Sie wurden von der 
British Tabulating Machine Company in Letchworth gefertigt. August 1942 
waren 30, März 1943 60 und schließlich 200 Bomben (Abb. 160) im Einsatz. 

In den U.S.A. entwickelten sowohl Army wie Navy Hochgeschwindigkeitsbom¬ 
ben, die auch in der Nachkriegszeit noch ihren Dienst taten. Die X-68003 
der U.S. Army (SIS), eine von Sam B. Williams von Western Electric kon¬ 
struierte reine Relais-Maschine, in Betrieb seit Oktober 1943 und mit 144 
Vertauschern ausgestattet, wurde als ‘MADAME X’ bekannt 28 ; sie verwen¬ 
dete Schrittschalter und erlaubte damit eine rasche Veränderung des Menüs. 
Die Nachbildung der Vertauscher durch Relais war zwar etwas langsam, aber 


28 Es ist unklar, ob der Name eine Anspielung auf Agnes Meyer Driscoll , die einsame 
ENIGMA-Angreiferin von 1940 in OP-20-G, war (vgl. 17.3.4). 
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Abb. 159b. Wirkungsweise des ‘diagonal board ; von Welchman 
für Beispiel /oberkommandoderwehrmacht/ 

ohne bewegte Massen. Mit Hilfe der Bell Laboratorien entwickelt, war sie 
gegen die 3-Rotor-ENIGMAs gerichtet und gegen die 4-Rotor-ENIGMAs der 
Kriegsmarine schwerfällig. Es wurde nur eine einzige MADAME X gebaut, 
sie entsprach in der Leistung sechs bis acht britischen Bomben. Entwicklung 
und Bau verschlangen eine Million $, kostenungünstig im Vergleich zur Navy. 

Für OP-20-G der Navy übernahm Joe Desch bei NCR, der sich 1940 mit 
schnellen Schaltungen für Teilchenzähler Kenntnisse in der Elektronik und 
einen dementsprechenden Ruf erworben hatte, im September 1942 die Auf¬ 
gabe, ein ehrgeiziges Projekt von 350 Bomben, jede um Größenordnungen 
schneller als die Turing-Welchman-Bombe, durchzuziehen. Überdies soll¬ 
ten diese Maschinen bis Frühjahr 1943 betriebsfähig sein. Desch und seine 
Gruppe “thought, that American technology and mass production methods 
could work miracles” (Burke). 29 Die Briten konnten nicht mehr tun, als ih- 


29 Desch wies jedoch das Ansinnen von Joseph Wenger , eine elektronische Version zu bauen, 
zurück: “An electronic Bombe was an impossibility” . Er tat gut daran: Er hätte für eine 
‘ super-Bombe’ mit 20 000 Röhren rechnen müssen, während die Briten für COLOSSUS 
mit größenordnungsmäßig 2 000 Röhren auskamen. 
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Abb. 160. Britische BOMBE ‘Atlanta’ (Standardausführung) in Eastcote 

rem Alliierten dabei behilflich zu sein. Howard Engstrom hatte Juli 1942 
Joe Eachus nach Bletchley Park gesandt. Turing reiste 7. -13. November 
1942 mit der Queen Elizabeth über den Atlantik und am 23. März 1943 
mit der Empress of Scotland zurück. OP-20-G wurde mit Geld und den 
fähigsten Leuten ausgestattet, dabei war jedoch die Geheimhaltung stren¬ 
ger als die des Atombombenprojekts. NCR in Dayton, Ohio gab den Rah¬ 
men. Es ging nicht so schnell wie erwartet, trotz der Bemühungen von Ea¬ 
chus waren im Frühjahr 1943 nur zwei Prototypen, ADAM und EVA, halb¬ 
wegs fertig. Franklin Delano Roosevelt gab höchstpersönlich dem Projekt 
Unterstützung und Beschleunigung. Mittlerweile besserte sich die Lage im 
U-Boot-Krieg für die Alliierten hauptsächlich aufgrund britischer Entziffe¬ 
rungen. Desch hatte insbesondere Probleme mit den schnellaufenden elektro¬ 
mechanischen Vertauschern mit Bürstenabtastung. Mitte Juni 1943 kamen 
Hoffnungen auf, man würde die Schwierigkeiten bald überwinden. Als am 26. 
Juli 1943 13 Produktionsmodelle einheitlich nicht funktionierten, sah es dann 
so aus, als würde das ganze Projekt scheitern. Aber Desch gab nicht auf. Die 
mechanischen Schwierigkeiten wurden Zug um Zug überwunden, die Zuver¬ 
lässigkeit stieg an. Im September 1943 wurden die ersten von NCR gebauten 
Maschinen von Dayton nach Washington, dem Einsatzort, verschickt. Mitte 
November waren 50 Bomben in Betrieb und 30 in Aufstellung. Zum Jahres¬ 
wechsel war der Erfolg gesichert. Zwar hatte es etwas länger gedauert als 
optimistischerweise veranschlagt und fast dreimal soviel Geld verschlungen 
als vorgesehen, aber schließlich kostete eine Desch-Bombe (das Projekt war 
so geheim, daß sie nicht einmal einen richtigen Namen bekam) nur 45 000 $. 
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Die 4-Rotor-Bombe der US Navy erhielt 16 Vier-Rotoren-Vertauscher und ein 
Weichmansches diagonal board und war 200 mal schneller als die polnische 
bomba, 20 mal schneller als die Turing-Welchman-Bombe (die Vorgabe war 
gewesen ‘26 mal schneller’ ) und immer noch 30% schneller als die gegen die 
4-Rotor-ENIGMAs der Kriegsmarine gerichtete halb-elektronische Version 
‘COBRA’ von 1943 der britischen Bombe. OP-20-G hatte aufgeschlossen: 
Ab Dezember 1943 dauerte die Entzifferung eines ENIGMA-Spruches des 
,Triton‘-Netzes im Mittel nur 18 Stunden — es waren 600 Stunden im Juni 
1943 gewesen. Gegenüber den britischen Vettern war die Desch-Bombe da¬ 
durch ausgezeichnet, daß die Lokalisierung der Vertauscherstellungen und die 
gesamte Steuerung durch digitale Elektronik mit 1500 Thyratrons (gas-ßlled 
tubes) geschah. Mindestens 100 Desch-Bomben wurden gebaut. Sie waren so 
zuverlässig, daß Ende 1943 die gesamte Arbeit am Schlüsselnetz ,Triton‘ der 
U-Boote an die U.S. Navy überging ein großer Schritt nach den bis 1942 
herrschenden Rivalitäten. 

Der BRUSA Pakt ( Cooperation in Code/Cipher Matters ) vom Mai 1943 
zwischen Großbritanien und den U.S.A., dem das Travis-Wenger-Agreement 
vom Oktober 1942 zwischen GC&CS und OP-20-G voranging, u began to 
move the two nations towards a level of unprecedented Cooperation ” (Burke) 
in der Kryptanalyse. Aber einige Reibungen und Spannungen hielten an. “It 
was not until the UKUSA agreement of 1946 that the two nations forged 
that unique relationship of trust that was maintained throughout the Cold 
War” (Burke). 

Gegen die japanischen (Rotor-)Chiffriermaschinen gerichtete spezielle Ma¬ 
schinen wie VIPER und PHYTON wurden mit Relais und Schrittschaltern 
aufgebaut; nach und nach bekamen auch sie elektronische Zusätze. Schließ¬ 
lich, gegen Kriegsende, ging man zu ersten elektronischen Maschinen über: 
OP-20-G baute gegen Japans kana-Chiffriermaschine JN-157 den RATTLER, 
SIS als Nachfolger des AUTOSCRITCHER 30 (ab Anfang 1945) den SUPER- 
SCRITCHER, OP-20-G wiederum DUENNA, die Briten GIANT - Namen, 
die bis vor kurzem nicht in der offenen Literatur vorkamen. Die letzteren 
waren Maschinen, die das Abstreifen der Steckerverbindungen der ENIGMA 
(14.5.4, 14.5.5) erleichtern sollten. DELILAH schließlich wurde ab September 
1943 entworfen, ab Juni 1944 gebaut und war am 6. Mai 1945 gerade fertig. 

19.7.4 Die Idee der universellen Rechenanlage, von Eckert und Mauchly 
begründet und von von Neumann und Goldstine zur Reife gebracht, zog 
jedoch auch die maschinelle Kryptanalysis in ihren Bann. James T. Pender- 
grass empfahl bereits 1946 in einem lange geheimgehaltenen Bericht (zusam¬ 
men mit Howard Campaigne) ihren Einsatz. Es begann im August 1947 
mit dem ATLAS-Projekt (vgl. 17.3.5) bei OP-20-G und 1948 mit ABNER 


30 Der Ausdruck ‘scritchmus’ stammt aus dem Jargon von Bletchley Park (“I cannot now 
recall what technique was nicknamed a ‘scritchmus”, schrieb Derek Taunt ), das Verfah¬ 
ren stammte von Dennis Babbage. Für die Ursprünge siehe auch 14.5. Ralph Erskine 
ist der Meinung, ‘scritching’ käme von ‘scratching out contradictions’. 
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bei SIS (eine Entwicklung, die 4 Jahre dauerte). Die N.S.A. ( National Se¬ 
curity Agency ), die Superbehörde, die Nachfolgerin von SIS und OP-20-G 
ist, förderte nachdrücklich, wie Howard H. Campaigne, Samuel S. Snyder und 
Erwin Tomash berichteten, die Entwicklung der amerikanischen Rechner- 
Industrie. 

Einige ehemalige Offiziere der U.S. Navy, Howard T. Engstrom, William C. 
Norris , und Ralph Meader gründeten im Jahr 1946 eine private Gesellschaft, 
Engineering Research Associates, Inc. (E.R.A.), sie wurden durch Charles 
B. Tompkins und John E. Howard unterstützt und kooperierten mit Joseph 
Eachus und James T. Pendergrass von OP-20-G. Aus Task 13 (ATLAS I), 
ausgeliefert Dezember 1950, wurde ERA 1101 (Dezember 1951); aus Task 29 
(ATLAS H), im letzten Vierteljahr 1953 an die Regierung ausgeliefert, wurde 
ERA 1103, eine auf dem Markt erfolgreiche Maschine. 

E.R.A. ging 1952 in Remington Rand auf. 1954 hielt Remington Rand eine 
starke zweite Position auf dem Markt mit der verbesserten 1101A (und der 
UNIVAC H, entwickelt von Eckert und Mauchly). Der Marktführer IBM 
kündigte 1951 den Defense Calculator an, der als IBM 701 im April 1953 
erstmals kommerziell geliefert wurde; IBM’s STRETCH entstand aus dem 
N.S.A. HARVEST von 1962. 

1970 gründete Seymour R. Cray (1925-1996), ehemals bei E.R.A. unter Eng¬ 
strom, eine eigene Firma und brachte 1976 CRAY-1 mit zahlreichen Nachfol¬ 
gern heraus (Farbtafel Q). Immer noch bergen die ‘sensitiven’ Schaltkarten 
der CRAY-Anlagen die Besonderheiten der kryptanalytischen Ansätze, für 
die diese Maschinen gebaut sind. Die letzten Reste des Kalten Kriegs haben 
sich in die Chips verkrochen. 




20 Lineare Basisanalyse 


“It would not be an exaggeration to state 
that abstract cryptography is identical 
with abstract mathematics .” 

A. Adrian Albert , 1941 


20.1 Reduktion linearer polygraphischer Substitutionen 

Für lineare polygraphische Substitutionen einer Chiffrierbreite n gelingt in 
günstigen Fällen eine Reduktion auf eine Exhaustion der Breite n, wenn 
nämlich eine Zuordnung einer Menge von n häufig auftretenden n- grammen 
zu einer Menge von n Klart ext-n-grammen vermutet werden kann. Insbeson¬ 
dere ist das der Fall, wenn ein längeres wahrscheinliches Wort angenommen 
wird, das jedoch in n verschiedenen Phasenlagen getroffen wird. 

20.1.1 Um die Rechnungen überprüfbar zu halten, beschränken wir uns auf 
ein Beispiel mit n — 3. Es liege folgender Geheimtext vor: 

FDYSW IJXNZ NSNRE NHUWA WMQEI EXWSX 
ISIGQ JNTAD BWDPU . 

Es sei angenommen, daß den gegebenen Umständen nach eine lineare poly¬ 
graphische Substitution der Breite 3 über dem Standardalphabet vorliegt — 
eventuell als zweiter Versuch in einer Reihe von Versuchen mit aufsteigender 
Breite. Der Geheimtext lautet entsprechend in Trigrammen über Z 26 

5 3 24 18 22 8 9 23 13 25 13 18 13 17 4 13 7 20 22 0 22 12 16 4 

8 4 23 22 18 23 8 18 8 6 16 9 13 19 1 3 1 22 3 15 20 . 

und es sei angenommen, daß die (fett gedruckten) Trigramme 13 17 4,22 0 22 
und 6 16 9 im weiteren Verlauf des Geheimtextes überaus häufig Vorkommen. 
Angesichts des vorherrschenden Auftretens von /ation/ im Französischen 
und Englischen kann vermutet werden, daß es sich um die drei Klartext- 
Trigramme /ati/, /tio/ und /ion/ handelt, bei noch offener Reihenfolge. 

In Z 26 sind das die Trigramme 0 19 8 , 19 8 14 und 8 14 13 , so daß die 
Matrix X der linearen Substitution folgendermaßen bestimmt ist, wobei P 
eine noch unbekannte Permutation ist: 
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0 19 8 \ 

19 8 14 I X 

8 14 13 / 


P 


13 17 4 

22 0 22 
6 16 9 


Von den sechs Lösungen in Z 26 für die 6 = 3! Permutationen ergibt nur eine 
einen vernünftigen Klartext, nämlich 


0 19 8 \ 

19 8 14 \ X = 

8 14 13 / 


22 0 22 
6 16 9 

13 17 4 


mit 


V = 


12 8 17 

8 18 24 

13 19 14 


20.1.2 Die Matrix X hat ein alphabetisches Äquivalent, das sich senk¬ 
recht gelesen aus dem Kennwort MINISTRYO(F) ergibt. Das bestätigt im 
Sinn von Rohrbach die Entzifferung. Jedoch liegt eine Komplikation vor: 
Die Chiffrierung X ist nicht injektiv: Der Vektor (0 13 0) wird von X 
annulliert. Damit ist bereits die befugte Dechiffrierung nicht eindeutig: 

zu 5 3 24 gehören 8 0 5 = iaf und 8 13 5 = inf ; 

zu 18 22 8 gehören 14 4 12 = oem und 14 17 12 = orm and so on. 

Die polyphone Dechiffrierung lautet: 


i n f °r m 


1 « a 




d ; r 


s t a 






1 o n 


n n b 


0 s f 11 


a f i oja 

. 


Jeweils die richtige Wahl zu treffen, fällt nicht schwer; die Entzifferung lautet: 
“inform direction of national radio Station about our ... 


20.2 Rekonstruktion eines durch lineare Iteration 
erzeugten Schlüssels 

Wird ein quasi-nichtperiodischer Schlüssel einer polyalphabetischen linearen 
polygraphischen Substitution der Breite n durch Iteration einer regulären 
n-reihigen Matrix A über Z 26 generiert (8.6.1), so läßt sich der Rollenwech¬ 
sel zwischen Nachricht und Schlüssel vornehmen: Ein wahrscheinliches Wort 
einer Länge fc, k > n 2 + n wird am Geheimtext entlanggeführt und sub¬ 
trahiert. Was dabei verbleibt, ist im günstigen Fall ein Stück Schlüssel 
(%+b%+2) • • • ^M+n 2 +n? s M+k) einer Länge k > n 2 +n . Die n Gleichungen 

(sM+h • • • s M+n) A = (%+ n +l, ^M+n+2? • • • ^M+2n) 

(^M+n+1? ^M+n+2? • • • ^M+2n) A — (^M+2n+l? ^M+2n+2? • • • ^M+3n) 
(sM+2n+l? $M+2n+2 ? • • • $M+3n) A = (sm+3u+ 1 , $M+3n+2 , • • • ^M+4n) 


(^M+n 2 — n+ 1) ^M+n 2 —n+2? • • • ^M+n 2 ) ^ (^M+n 2 + l? ^M+n 2 +2? • • • ^M+n 2 +n) 

in Z 26 reichen aus, um A zu bestimmen — für k > n 2 + n ergibt sich sogar 
ein überbestimmtes Gleichungssystem. 
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Beispielsweise seien die drei Zahlenpaare (1 0),(3 5), (23 22) aus (1 0) 
durch zwei Iterationen mit einer Matrix A erhalten; A ist bestimmt durch 

(1 0) A = (3 5) und (3 5) A = (23 22) und ergibt sich in Z 26 zu 


Wenn im günstigen Fall die Lage des wahrscheinlichen Wortes paßt, ist das 
Gleichungssystem sicher auflösbar, für den überbestimmten Fall k > n 2 + n 
sind mehrere solche Gleichungssysteme auflösbar und geben übereinstimmen¬ 
de Lösungen. Tritt so etwas auf, so liefert es natürlich einen starken An¬ 
haltspunkt. Im ungünstigen Fall, d. h. wenn die Lage des wahrscheinlichen 
Wortes nicht paßt, ist das Gleichungssystem oder eines der Gleichungssy¬ 
steme womöglich gar nicht lösbar; ist es jedoch lösbar, so läßt sich der 
Schlüssel fortsetzen und vom Geheimtext subtrahieren, wobei in aller Regel 
unvernünftiger Text entsteht und auf diese Weise der Fehlschlag angezeigt 
wird. Kommt ein genügend langes wahrscheinliches Wort tatsächlich vor, so 
wird der gesamte Schlüssel bloßgelegt. Fehltreffer sind selten. 


20.3 Rekonstruktion eines linearen Schieberegisters 


Lineare Schieberegister im weiteren Sinn fallen als Spezialfall unter die An- 
griffsmöglichkeit von 20.2 . Für sie ist die Iterationsmatrix A (vgl. 8.6.1) 
eine n-reihige Begleitmatrix, 


/0 0 0 ... 0 h \ 

I 1 0 0 ... 0 t 2 

0 10 — 0 * 3 


10 0 0 ... 0 t n -1 

\0 0 0 ... 1 t n ) 


Wird ein Schlüssel durch Iteration mit einer solchen Begleitmatrix erzeugt, 
so genügt nunmehr bereits ein Stück der Länge 2 n des Schlüssels, um die 
Begleitmatrix zu rekonstruieren und damit den ganzen Schlüssel erzeugen zu 
können. 


Um die Rechnungen überprüfbar zu halten, beschränken wir uns auf ein 
Beispiel mit n = 4. Es hege folgender Geheimtext vor: 


C G V J F M C I H T X U F S D Y V L M R . 

Es sei angenommen, daß den gegebenen Umständen nach die Chiffrierung 
ein VIGENERE ist, wobei der Schlüssel quasiperiodisch ist und durch eine 
lineare polygraphische Substitution der Breite 4 in Z 26 erzeugt wird. Als 
wahrscheinliches Wort komme den Umständen nach /broadcast/ in Frage. 

20.3.1 Die Annahme, das wahrscheinliche Wort hege ganz am Anfang, führt 
zu dem Ansatz 
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CGVJF MCIHT XUFSD YVLMR 


2 6 21 9 5 12 2 

b r o a d ca 

1 17 14 0 3 2 0 

1 15 7 9 2 10 2 


8 7 19 23 20 5 
s t 
18 19 

16 14 


18 3 24 21 11 12 17 


Dies ergibt die Iterationsgleichung in Z 26 


1 

15 

7 

9 \ 

15 

7 

9 

2 

7 

9 

2 

10 

9 

2 

10 

2 

V 2 

10 

2 

16/ 


0 0 0 t\ \ 

1 0 0 t 2 | 
0 1 0 £ 3 
0 0 1 tj 


und das überbestimmte Gleichungssystem 


f 1 

15 

7 

9 \ 

/U \ 

( 2 \ 

' 15 

7 

9 

2 

\ 

4. 1 


10 

7 

9 

2 

10 

t2 

= 

2 

i 9 

2 

10 

2 

l 3 


16 


10 

2 

16/ 

' \ M / 

\ 14/ 


/!5 

7 

9 

2 \ 

7 

9 

2 

10 

9 

2 

10 

2 

2 

10 

2 

16 

\10 

2 

16 

14 y 


das nicht lösbar ist: Die ersten vier Zeilen lassen sich durch Gaußsche Elimi¬ 
nation umformen zu 


c 

15 

7 

9 \ 

CU 


( 2 

' 0 

1 

9 

9 

h 


18 

1 ° 

0 

1 

17 

h 


0 

Ko 

0 

0 

1/ 

\tj 

\ 8 


mit der durch Rückwärtseinsetzen sich ergebenden Lösung 
£4 — 8 , £ 3 = 20 , £2 — 0 , £1 = 24 , 
die aber die fünfte Gleichung offensichtlich nicht erfüllt. 


20.3.2 Die nächste zu überprüfende Annahme, das wahrscheinliche Wort 
beginne mit der zweiten Stelle, führt zu dem Ansatz 


CGVJF 
2 6 21 9 5 
b r o a 
1 17 14 0 

5 4 21 5 


MCIHT 

12 2 8 7 19 

d c a s t 

3 2 0 18 19 

9 0 8 15 0 


XUFSD 

23 20 5 18 3 


YVLMR 
24 21 11 12 17 


und zu der Iterationsgleichung in Z 26 


(\ 

4 

21 

21 

5 

9 

(i 

0 

0 

0 

0 

h\ 
h ! 

21 

5 

9 

0 

5 

9 

0 

8 


1 

0 

h 1 
t A / 

\ 9 

0 

8 

15/ 

n 

\0 

0 

1 


( A 

21 

5 


21 

5 

9 

0 

5 

9 

0 

8 

9 

0 

8 

15 

V 0 

8 

15 

0 / 
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ergibt also das überbestimmte Gleichungssystem 


/ 5 4 21 

4 21 5 

21 5 9 

5 9 0 

V 9 0 8 


5 \ 


9 

0 


( h 

t2 

tä 


iJ ^ 


0 

8 

15 

V 0 


\ 


das lösbar ist: Die ersten vier Zeilen lassen sich durch Gaußsche Elimination 
umformen zu 


1 

6 

25 

!\ 

(ii\ 

f 7 \ 

0 

1 

23 

7 

h 

- I 18 

0 

0 

1 

4 

h 

23 

0 

0 

0 

l) 

\ ti / 

V 3 / 


mit der durch Rückwärtseinsetzen sich ergebenden Lösung 
G = 3, <3 = 11, <2 = 4, fi = 17, 


die die fünfte Gleichung offensichtlich erfüllt. 

Die Iterationsmatrix zur Fortsetzung des Schlüssels ist somit in Z 26 


/0 0 0 17\ 
10 0 4 

0 1 0 11 
\0 0 1 3 / 


/12 1 0 0 \ 

mit der Inversen A~ x = ^ 00 1 

\ 23 0 0 0/ 


Der Schlüssel kann also ergänzt werden zu 

2 5 4 21 5 9 0 8 15 0 

und führt zu folgender Entzifferung 

M C I H T 
12 2 8 7 19 


C G V J F 

2 6 21 9 5 

2 5 4 21 5 

0 1 17 14 0 

a b r o a 


9 0 8 15 0 

3 2 0 18 19 

d c a s t 


15 

7 

25 

4 

24 

X 

u 

F 

S 

D 

23 

20 

5 

18 

3 

15 

7 

25 

4 

24 

8 

13 

6 

14 

5 

i 

n 

g 

0 

f 


23 20 9 19 3 


Y V L M T 
24 21 11 12 17 

23 20 9 19 3 

1 1 2 19 14 
b b c t o 


(“A broadcasting of BBC tonight announced the Allied invasion to be expec- 
ted within fortyeight hours”.) 


Die Iterationsmatrix ist aus dem Kennwort ( FID)DLER = (5 8 3) 3 11 4 17 
hergeleitet. 


Für eine binäre lineare Schieberegister-Chiffrierung in Verbindung mit einem 
VIGENERE über Z 2 gelten entsprechende Überlegungen. Eine Schiebere¬ 
gister-Chiffrierung sollte also nichtlinear sein, um diese Angriffsmöglichkeit 
zu vermeiden ( Beth et al. 1982). 



21 Anagrammieren 


^Abandonner les methodes de Substitution 
pour celles de transposition a ete changer 
son cheval borgne pour un aveugle .» 

Etienne Bazeries , 1901 

Transpositionen erfreuten sich gelegentlich großer Beliebtheit bei den Mili¬ 
tärs, im ausgehenden 19. und angehenden 20. Jahrhundert sowohl bei den 
preußischen wie bei den französischen Chiffrierdiensten. Sie schienen als 
‘trench codes’ besonders für die unteren militärischen Stäbe geeignet zu 
sein. Bazeries machte sich darüber zu recht lustig und schrieb Transposi¬ 
tionssystemen, die auf den ersten Blick schwierig erschienen, generell eine 
<& complication illusoire » zu. Kryptanalytiker liebten zu allen Zeiten Geg¬ 
ner, die Transposition verwendeten, weil sie ihnen leichte Beute versprachen, 
gleichzeitig behandelt die Literatur die unbefugte Entzifferung von Transpo¬ 
sitionen eher mehr stiefmütterlich. 

21.1 Einfache Transposition 

Einfache Spaltentransposition (6.2.1), d.h. Umstellung von Einzelzeichen, mit 
geringer Chiffrierbreite fc, kann bei bekanntem k durch gezielte Betrachtung 
des Kontakts, also von Bigramm-Häufigkeiten, angegangen werden. Für eine 
halbautomatische Lösung von einfacher Spalten-Transposition und einfacher 
Block-Transposition gab es im 2. Weltkrieg bei den deutschen Diensten im 
Auswärtigen Amt (Pers Z) und im OKW besondere Maschinen, genannt 
,Spezialvergleicher 6 und ,Bigrammbewertungsgerät 6 ( Rohrbach , Jensen). 

Dazu wurde ein Textstück (mit einer die Spaltenlänge möglichst nicht über¬ 
treffenden Länge) am gesamten Text vorbeigeführt, wobei die auftretenden 
Bigramme mit eingestellten Bigramm-Häufigkeiten verglichen wurden; in Po¬ 
sitionen, in denen die Bigramme besonders gut paßten, hatte man vermutlich 
aneinanderpassende Textstücke vor sich. Das Verfahren ist im Prinzip auch 
brauchbar, wenn die permutierten Spalten nicht gleich lang sind. 

Für die U.S.Army baute SIS gegen Ende des 2. Weltkriegs FREAK, einen 
Bigramm-Zähler auf der Basis elektrischer Kondensatoren, ein Ersatz für den 
1943 von RCA gebauten MIKE, der von Burke als “ahuge electromechanical 
contraption” charakterisiert wurde. 
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21 . 1.1 Als Beispiel mag folgender Geheimtext dienen 

S S NK L H 0 N I W MME U N T A H U L INNAH NCINF CIERO 
NACBA MZGHN KT HWC DES IN KCAIE ANIM 

Häufigkeitszählung ergibt eine gute Annäherung an die Häufigkeiten der deut¬ 
schen Sprache und legt den Verdacht auf eine Transposition nahe. Die Ge¬ 
samtzahl von 64 = 8 x 8 Zeichen läßt zuerst an eine Spalten-Transposition der 
Breite 8 mit einer 8 x 8-Anordnung 

S I A H E M W C 

SWHNRZCA 
N M U C O G D I 

K M L I N H E E 

L E I N A N S A 

H U N F C K I N 

O N N C B T N I 

N T A I A H K M 

denken. Nimmt man deshalb eine Achterspalte, die viele häufige Zeichen 
enthält, wie etwa die fünfte, ERONACBA, und stellt man sie den anderen 
Achterspalten gegenüber, so ergeben sich folgende Bigramme (angegeben ist 
ihre Häufigkeit in %%; wo eine Angabe fehlt, liegt diese unter 0.5%%) 


ES 

140 

E I 

193 

EA 

26 

EH 

57 

EM 

55 

EW 

23 

EC 

25 

RS 

54 

RW 

17 

RH 

19 

RN 

31 

RZ 

14 

RC 

9 

RA 

80 

ON 

64 

OM 

17 

OU 

3 

OC 

15 

OG 

5 

OD 

7 

Ol 

1 

NK 

25 

NM 

23 

NL 

10 

NI 

65 

NH 

17 

NE 

122 

NE 

122 

AL 

59 

AE 

64 

AI 

5 

AN 

102 

AN 

102 

AS 

53 

AA 

8 

CH 

242 

CU 


CN 


CF 


CK 

14 

C I 

1 

CN 


BO 

8 

BN 

1 

BN 

168 

BC 


BT 

4 

BN 

1 

B I 

12 

AN 

102 

AT 

46 

AA 

8 

AI 

5 

AH 

20 

AK 

7 

AM 

28 


Die Gegenüberstellung von ERONACBA mit der Spalte SSNKLHON hat deut¬ 
lich höhere Bigrammhäufigkeiten als die anderen: Bildet man das Produkt 
aller Häufigkeiten, so ergibt sich der Wert 1.41 x 10 14 , während die übrigen 
Gegenüberstellungen alle Werte unter 3.74 x 10 9 ergeben. Wegen der gu¬ 
ten Bigramm-Übereinstimmung wird man als nächste die erste Achterspalte 
SSNKLHON betrachten. Jetzt erhält man mit den restlichen Achterspalten 
die Gegenüberstellungen 


S I 

65 

SA 

36 

SH 

9 

SM 

12 

SW 

10 

SC 

89 

SW 

10 

SH 

9 

SN 

7 

SZ 

7 

SC 

89 

SA 

36 

NM 

23 

NU 

33 

NC 

5 

NG 

94 

ND 

187 

N I 

65 

KM 

1 

KL 

10 

KI 

7 

KH 

1 

KE 

26 

KE 

26 

LE 

65 

L I 

61 

LN 

4 

LN 

4 

L S 

22 

LA 

45 

HU 

11 

HN 

19 

HF 

2 

HK 

3 

H I 

23 

HN 

19 

ON 

64 

ON 

64 

OC 

15 

OT 

9 

ON 

64 

Ol 

1 

NT 

59 

NA 

68 

NI 

65 

NH 

17 

NK 

25 

NM 

23 


Diesmal hebt sich die fünfte Gegenüberstellung mit einem Produkt der Häu¬ 
figkeiten von 3.50 x 10 12 nicht mehr so deutlich heraus, aber immerhin noch 
merklich gegenüber den anderen Gegenüberstellungen, deren Werte alle unter 
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5.39 x IO 11 liegen. Wagt man es, mit der Achterspalte WCDESINK fortzufah¬ 
ren, so ergibt die nächste Gegenüberstellung eine Auszeichnung der Achter¬ 
spalte AHULINNA. Wenn man die gefundenen Achterspalten sofort auflistet, 
hat man bis jetzt 

ES WA 
RS CH 
ONDU 
NKEL 
AL S I 
CH I N 
BONN 
ANKA 

und liest flüssig den Klartext. Offensichtlich fügen sich bereits vier der Spal¬ 
ten zusammen, es handelt sich also sogar um eine Transposition der Periode 4. 
Unterwirft man die verbleibenden Achterspalten der selben Permutation, so 
erhält man 

M I CH 
ZWAN 
GM I C 
HME I 
NE AN 
K U NF 
TN I C 
H TMI 

und damit den gesamten Text (der als Text „Böll“ schon wiederholt auftrat) 
eswarschondunkelalsichinbonnankamichzwangmichmeineankunftnichtmi 
[tderautomatikablaufenzulassendiesichinfuenfjaehrigemunterwegsseinher 
ausgebildethat] (Heinrich Böll , ,Ansichten eines Clowns 6 , 1963). 

21.1.2 Im behandelten Beispiel ergab sich (nicht ganz zufällig) mit der 
ersten herausgegriffenen Spalte die Anfangsspalte. Das wird im allgemei¬ 
nen nicht so sein, und man tut gut daran, nach beiden Seiten anschließende 
Spalten zu suchen. Hat man dabei den Verdacht, auf die End- oder An¬ 
fangsspalte gestoßen zu sein, so muß man die Fortsetzung mit einer um einen 
Platz verschobenen Spalte versuchen. Im übrigen mag es sich, trotz der damit 
verbundenen Mühe, lohnen, auch Trigrammhäufigkeiten heranzuziehen. 

21.1.3 Einfache (periodische) Spaltentransposition bietet nach dem Ge¬ 
schilderten keine Sicherheit, wenn die Periode nicht nahe an die Länge des 
Textes herankommt; schon einige Wiederholungen erlauben den Angriff nach 
21.1.1. Transposition ohne jede Periodizität ist dagegen in aller Regel auch 
bei beliebig langem Text mehrdeutig lösbar: Ein gewiegter Anwalt könnte 
also Brother Tom von Jonathan Swift (6.3) herauspauken, wenn er eine an¬ 
dere Lösung des Anagramms fände. Auch für Transposition ist also ein 
Einmal-Schlüssel sinnvoll. 

21.1.4 Auch ein Code, der einer einfachen Tranposition unterworfen wurde, 
kann so behandelt werden, wenn man Kenntnisse über die Häufigkeit von Bi- 
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grammen in den Codegruppen hat. Dies ist beispielsweise der Fall, wenn alle 
Codewörter, um „aussprechbar“ zu sein, aus einem Vokal-Konsonant-System 
sind, etwa vom Typ CVCVC (4.4.2) — wie der GREEN Code des U.S. State 
Department von 1914. Noch im 2. Weltkrieg verwendete das State Depart¬ 
ment Codes vom CVCVC und CVCCV Typ, die Pers Z ( Hans-Kurt Müller, 
Asta Friedrichs) das Abstreifen einer Überchiffrierung sehr erleichterten. 

21.1.5 Weiterhin funktioniert die Methode auch bei gemischter Zeilen-Spal- 
ten-Transposition und bei gemischter Zeilen-Block-Transposition (6.2.3) — 
der Kontakt ist nur gelegentlich zerrissen —, wobei sie zunächst einen zeilen¬ 
weise permutierten Text ergibt, aus dem sich der Klartext unter Heranziehung 
des semantischen Inhalts ohne große Mühe ablesen läßt; in unserem Beispiel 
(bei einer 8 x 8-Anordnung) nach Unterteilung in Achtergruppen 

MICHZWAN AL S I CH IN ONDUNKEL NEANKUNF 
GMICHMEI ESWARSCH TNICHTMI BONNANKA . 

Givierge und Eyraud haben darauf hingewiesen, daß diese ^ transposition 
double » im wesentlichen nicht mehr Schwierigkeiten macht als eine einfache 
Transposition. Speziell läßt sich die ,Nihilistenchiffre 4 (6.2.3) so behandeln, 
das ^ doublen ist eine complication illusoire. 

21.2 Doppelte Spaltentransposition 

Die doppelte Spaltentransposition (6.2.4) bereitet — außer in Ausnahmefäl¬ 
len — dem unbefugten Entzifferer bedeutend mehr Schwierigkeiten. Das liegt 
daran, daß nach der ersten Transposition die Kontakte bereits völlig zerrissen 
sind. Eyraud behandelt den Fall recht ausführlich. Kahn schreibt: 

“in theory the cryptanalyst merely has to huild up the columns of the se- 
cond block by twos and threes so that their digraphs and trigraphs would 
in turn bejoinable into good plaintext fragments. But this is far more easi- 
ly said than done. Even a gifted cryptanalyst can accomplish it only on 
occasion; and even with help , such as a probable word, it is never easy”. 

21.3 Multiples Anagrammieren 

Für den allgemeinsten Fall der Transposition, sogar ohne periodische Wie¬ 
derholung, gibt es eine allgemeine Methode, die nur die Voraussetzung hat, 
daß zwei oder mehr Geheimtexte gleicher Länge vorliegen, die nach dem 
selben Schlüssel chiffriert wurden. Diese Situation einer Klartext-Klartext- 
Kompromittierung des Schlüssels erlaubt ein Vorgehen parallel zur Methode 
der superimposition von Kerckhoffs. 

21.3.1 Die Methode beruht darauf, daß gleiche Schlüssel die gleiche Permu¬ 
tation des Klartextes bewirken — das gilt auch für Raster und Würfel. Man 
schreibt also die Nachrichten untereinander und faßt die dabei auftretenden 
Kolonnen zusammen. Für die beiden Geheimtextfragmente 

GHINT und OWLCN 
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bedeutet das, daß die Paare 

G H I N T 

O W L C N 

anagrammiert werden. Von den zwanzig Kombinationen zu je zweien zeigen 
nur die folgenden zwölf Kombinationen (in absteigender Rangfolge) 

TH NG GT IN TI NI GH HI IG TN HT Gl 

NW CO ON LC NL CL OW WL LO NC WN OL 

hinreichend großen Kontakt in beiden Zeilen. Mit vieren dieser Paare, die 

die besten Kontakte zeigen, läßt sich allerdings nur das semantisch sinnlose 

LCONW bilden und sogar mit den ersten acht Kombinationen erhält man 

nur zyklische Vertauschungen dieser Lösung, wie aus dem folgenden Graphen 

mit fünf Knoten und acht Kanten hervorgeht: 



Mit der neunten Kombination kommt eine Möglichkeit hinzu, aber die Lösung 
CLONW ^ e d enso sinnlos. Erst wenn man bis zur elften Kombination geht 
und damit den erweiterten Graphen mit 11 Kanten 



erhält, entsteht die sinnvolle Lösung ^LOWN 

“There will be one Order and only one — in which the two messages will 
simultaneously make sense” (Edward S. Holden 1879). 

21 . 3.2 Multiples Anagrammieren zweier oder mehrerer Geheimtexte kann 
also als graphentheoretisches Problem betrachtet werden. Eine Mechanisie¬ 
rung ist möglich und angebracht, wenn etwa ein Raster bis hinauf zu 10x10 
(6.1.4) ein halbes Dutzend mal verwendet wird. Dieses wird ja in aller Regel 
vorgefertigt und ist damit zu mehrmaligem Gebrauch bestimmt. Transposi¬ 
tion mit festem Schlüssel, und sei sie noch so kompliziert, ist nur der Extrem¬ 
fall von periodischer Transposition, die bereits nicht sicher ist, wenn sie auf 
Klartext oder auf Text, der noch Häufigkeitsmerkmale zeigt, wie Placode, 
angewandt wird. Transposition, angewandt auf polyalphabetisch chiffrierten 
Text (chiffre ä triple clef von Kerckhoffs ) widersteht allerdings den bespro¬ 
chenen Methoden womit nicht gesagt sein soll, daß sie sicher sei. Trans- 
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Position kann auch mit Wörtern anstatt mit Buchstaben geschehen, dann 
hilft multiples Anagrammieren von Wörtern. 

21 . 3.3 Multiples Anagrammieren wurde erfunden oder doch wenigstens 
zum ersten Mal der Öffentlichkeit bekanntgemacht 1878 fünf Jahre vor 
Kerckhoffs von John R. G. Hassard und William M. Grosvenor , zwei Her¬ 
ausgebern der New York Tribüne, die zusammenarbeiteten, und unabhängig 
davon von dem schon erwähnten Holden , einem Mathematiker des U.S. Naval 
Observatory in Washington. Der Grund für eine solche massive Anstrengung 
war ein Skandal im U.S. Senate, dem einige Hundert chiffrierter Telegramme 
zugrundelagen. Verwendet wurde ein amateurhaftes System von Klartext 
mit verkleideten Eigennamen und verräterischen Wörtern, der wortweise in 
ein Raster geschrieben wurde; benützt wurden vier solcher Raster mit 15, 20, 
25 und 30 Wörtern. Die Telegramme wurden unabhängig angegangen und 
übereinstimmend entziffert, was die Authentizität belegte. Die Aufdeckung 
des Skandals hatte tiefgreifende politische Wirkungen, überdies wurde die 
amerikanische Öffentlichkeit intensiv mit Geheimschriften und ihrer Entziffe¬ 
rung vertraut gemacht. Vielleicht rührt davon die in den Vereinigten Staaten 
zu beobachtende Vorliebe für Amateurkryptologie her. 

Die Franzosen unter dem damaligen Hauptmann, späteren Oberst und Ge¬ 
neral Frangois Cartier hatten jedenfalls ihre Lektion gelernt, als sie sich 
1914 dem deutschen Heer gegenübersahen, das als ‘trench code’ eine dop¬ 
pelte Transposition verwendete. Im Jargon der Franzosen hieß diese Chiffre, 
die übungshalber schon im Frieden verwendet worden war, übchi , weil die 
Deutschen den Sprüchen stets die Codegruppe ÜBCHI vorangestellt hatten 
(6.2.4). Den Franzosen gelang es mit multipler Anagrammierung schnell, 
einzelne Sprüche wenigstens teilweise zu entziffern. Am 1. Oktober 1914 hat¬ 
ten Cartier und seine Gehilfen Adolphe Oiivary, Henri Schwab und Gustave 
Freyss erstmals bereits den Schlüssel rekonstruiert. Sie gaben ihn an die 
französischen Frontstellen weiter, die damit die deutschen Funksprüche so 
schnell lesen konnten wie die Deutschen selbst. Diese vorteilhafte Situation 
dauerte bis Mitte November 1914. 

Dem Kaiserlichen Heer unterlief dann ein grandioser kryptologischer Fehler: 
Es wechselte von der widerspenstigen (vgl. 12.4.2) doppelten Transposition 
zur einfachen Transposition in Verbindung mit einem VIGENERE-Verfahren 
mit dem trivialen dreibuchstabigen Schlüssel ABC, was man im Kopf tun 
konnte. Diese complication illusoire — das Abstreifen der Addition erfor¬ 
derte nur die Betrachtung des Häufigkeitsgebirges, es verblieb also effektiv 
lediglich eine einfache Transposition — dauerte bis Mai 1915 und kam den 
Franzosen sehr zustatten. 

Obwohl Le Matin die Geschichte des französischen Erfolgs vom Oktober 1914 
publizierte, kehrte das Kaiserliche Heer Ende 1916 zur Transposition zurück, 
diesmal unter Benutzung von Drehrastern. Das hielt vier Monate an und 
brachte natürlich keine Probleme für die französischen Dechiffrierer. 
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„Die ungenügende Zusammenarbeit auf dem Gebiet der 
Entwicklung der eigenen Verfahren, die fehlerhafte Her¬ 
stellung und Verteilung von Schlüsselunterlagen, un¬ 
vollständige Schlüsselvorschriften, übersehene Möglich¬ 
keiten der Kompromittierung bei der Einführung von 
Schlüsselverfahren und viele andere Ursachen können 
dem unbefugten Entzifferer die Möglichkeiten zur Ent¬ 
zifferung fremder Geheimschriften liefern.“ 

Erich Hüttenhain \ 1978 

Die Geschichte der Kryptologie lehrt, daß der unbefugte Entzifferer von den 
Fehlern des Gegners lebt (vgl. 11.2.5). Dumme Chiffrierfehler werden von 
Kryptosekretären ( cipher clerks) begangen. Taktische und strategische kryp¬ 
tologische Fehler unterlaufen hingegen den Nachrichtenführungsstäben bis 
hin zu deren Generälen und Direktoren. Dazu gehören auch politische Fra¬ 
gen der Organisation. Die Aufsplitterung der Dienste in Deutschland vor und 
während des 2. Weltkriegs, nicht zuletzt eine Folge der Rivalitäten zwischen 
Ribbentrop , Göring und Himmler (Sonderdienst Dahlem in der Abteilung 
Pers Z des Auswärtigen Amtes, Chiffrierabteilung (Chi) im Oberkommando 
der Wehrmacht, B-Dienst der Kriegsmarine, Forschungsamt des Reichsluft¬ 
fahrtministeriums, Amt VI E des Reichssicherheitshauptamts) war äußerst 
nachteilig; die Briten konzentrierten andrerseits von Anfang an ihre Dienste 
unter dem Foreign Office in der Government Code and Cypher School und 
sogar die Militärs fühlten sich nicht schlecht bedient, von den Geheimdien¬ 
sten M.I.6 (unter Stewart Menzies , alias ‘C’) und O.S.S. (unter David Bruce ) 
nicht zu reden; die Beteiligten saßen alle in Churchills geheimer u London 
Controlling Section ” (L.C.S.). 

Aber bei den Deutschen wie bei den Alliierten ( u need to know”-Doktrin) 1 2 be¬ 
standen auch aus Gründen nachrichtendienstlicher Sicherheit Abschottungen; 


1 Dr. Erich Hüttenhain (26.1.1905-1.12.1990) hatte in Münster Mathematik (bei Hein¬ 
rich Behnke) und Astronomie studiert, er war dann Assistent bei Lindov. 1936 wurde 
er Referent in der Chiffrierabteilung des Oberkommandos der Wehrmacht (OKW); er 
war zuletzt Leiter der Gruppe IV Analytische Kryptanalyse in der Hauptgruppe Krypt- 
analyse des seit 1922 dort tätigen Ministerialrats Wilhelm Fenner. Nach dem Krieg 
leitete Hüttenhain von 1956 bis 1973 eine Dienststelle der Bundesregierung in Bad 
Godesberg, die Zentralstelle für das Chiffrier wesen. Sein Nachfolger (1973-1993) war 
Dr. Otto Leiberich . 

2 “A person engaged in classified work was told only enough to enable him to carry out 
his duties.” ( Brian Johnson 1978) 
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sie bewirkten, daß eine Abteilung von den anderen weniger lernen konnte, 
als es nützlich gewesen wäre, und erlaubten auch manchmal, Mißerfolge und 
Fehler zu vertuschen.. Zu beurteilen, wie weit solche Umstände den Verlauf 
von Krieg und Frieden beeinflußt haben, ist mehr Sache der Historiker als 
der Kryptologen. 3 Eine umfangreiche Publizistik zeigt alle Übergänge von 
seriösen Berichten bis hin zu enthüllenden Artikeln der Sensationspresse. 


22.1 Geglückte Entzifferungen 

Die Kryptographie hat ihre eigenen Feinde. Generäle und Botschafter finden 
manchmal die Mühe nicht wert. Sie können der Ansicht erliegen, daß die Un¬ 
terordnung unter einen Kryptosekretär Zeitverschwendung und Demütigung 
ist, und mögen auch begründete Zweifel an der Rechtschaffenheit ihrer Ge¬ 
hilfen haben. Der große Philosoph Frangois Marie Arouet , genannt Voltaire , 
ging so weit, daß er die Codebrecher Scharlatane nannte: <^ceux qui se van- 
tent de dechiffrer une lettre sans etre instruit des affaires qu’on y traite ... 
sont de plus grands charlatans que ceux qui se vanteraient d’entendre une 
langue qu’ils n’ont point apprise .» Und der Earl of Clarendon schrieb ein 
Jahrzehnt früher in einem Brief an Doctor John Barwick “I have heard of 
many of the pretenders of that skill , and have spoken with some of them, but 
have found them all to be mountebanks.” 1723 sprach man im British House 
of Commons von einer ‘mystery of decypheringf Die öffentliche Meinung 
über Kryptosysteme ist seitdem ein wenig besser geworden. Aber neuerdings 
muß man stets betonen, daß Kryptanalyse keine Wunder bewirken kann. 
Einige Namen erfolgreicher Kryptanalysten sind bekannt ge¬ 
worden, so schon im ersten Weltkrieg die Briten William R. 

Hall, Nigel de Grey, Malcolm Hay of Seaton, Oswald Tho¬ 
mas Hitchings , G. L. Brooke-Hunt , die Franzosen Georges 
Painvin , Frangois Cartier , Marcel Givierge, E.-A. Soudart, 
die U.S.-Amerikaner Parker Hitt , J.Rives Childs , Frank 
Moorman , Joseph O. Mauborgne , Herbert Osborne Yard- 
ley, Charles J. Mendelsohn, der Italiener Luigi Sacco, die 
Österreicher Maximilian Ronge , Andreas Figl , Hermann Po- Nigel de Gre ^ 
korny und die Preußen Ludwig Deubner und WilhelmTranow. Viele andere 
traten nie ans Licht der Öffentlichkeit und sind vergessen. 

Im zweiten Weltkrieg war es sogar eine noch größere Anzahl von Personen, die 
sich im Codebrechen abmühten; viele nur während der Kriegszeit. In einem 
kürzlich erschienenen Buch, herausgegeben von Francis Harry Hinsley und 
Alan Stripp , finden sich Memoiren von etwa 30 Bletchleyites, wie sie stolz 
genannt wurden. Es ist weithin zufällig, ob ein Kryptanalyst mit bedeuten¬ 
den Erfolgen auch bekannt wird. Fedor Novopaschenny , der Spezialist für die 


3 Für eine seriöse Darstellung siehe etwa Jürgen Rohwer und Eberhard Jäckel (Hrsg.), 
,Die Funkaufklärung und ihre Rolle im 2. Weltkrieg 4 , Stuttgart 1979. 
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Sowjetunion bei der deutschen Chi-Stelle, Georg Schröder 
beim Forschungsamt und Fritz Neeb bei der Heeresgruppe 
Mitte liefern Beispiele. Cort Rave blieb gänzlich unbeach¬ 
tet. Auf britischer Seite wurden ab 1974 nach der aufsehen¬ 
erregenden Publikation von Frederick W. Winterbotham 
eine Reihe von Leuten berühmt, darunter neben Alan Tu- 
ring und Gordon Welchman auch Alfred Dillwyn (‘Dilly’) 

Knox. Auf der Seite der U.S.A ging es nicht so geheimnis¬ 
voll zu, neben Friedman kamen Abraham Sinkov , Frank 
Rowlett und Solomon Kullback (Abb. 161) und viele wei¬ 
tere frühzeitig stärker ins Licht der Öffentlichkeit. 

22.1.1 Über Erfolge der deutschen Seite wurde bisher wenig berichtet. Das 
hängt sicher auch mit dem Ausgang des 2. Weltkrieges zusammen; man darf 
daraus nicht schließen, daß es keine gab. Ein Mann, der lange im Hintergrund 
stand, bevor David Kahn seinen Namen in die Öffentlichkeit brachte, ist Wil¬ 
helm Tranow; vormals Funker in der Kriegsmarine, der schon im 1. Weltkrieg 
Funksprüche der Royal Navy brach und ab 1935 wieder erfolgreich war. 



Dillwyn Knox 
(1885-1943) 



Abb. 161. William Friedman (sitzend) mit (von links) 

Solomon Kullback , Frank Rowlett und Abraham Sinkov 


Kahn , ein unvoreingenommener Historiker, schreibt über die Situation Mitte 
1943 beim B-Dienst 4 der Kriegsmarine, der unter der Leitung des alterfahren¬ 
en und energischen Tranow stand: the B-Dienst was at the height of its 


4 Abkürzung für ,Beobachtungsdienst 4 , hervorgegangen aus dem ,Beobachtungs- und Ent¬ 
zifferungsdienst 4 der kaiserlichen Marine, deshalb wohl manchmal auch ,xB-Dienst 4 oder 
,xB-Dienst 4 genannt. 




450 22 Abschließende Bemerkungen 


powers, solving 5 to 10 % of its intercepts in time for Dönitz to use them 
in tactical decisions. Early information sometimes enabled him to move his 
U-boats so that a convoy would encounter the middle of the pack.” 

nouun. -.uagnt» «Iran Vcrrat-V*r<k*aht sua Anlitü ia 

dar *n,;liociuw \ytti. tvarf Jj'bd laitgaltaefi votdia 
besteht kvLnu -üblichAdlt gauausref *-rkDnkttil&so oaf tlubpa 
G*blnt m 

yrkniiata des . tmlun&cls i’rtLukTurt lit turqb t•* * 

3-Laldung 1U5 A oa und 3.5 kl vcrbr*i<Ut w4«n. 

Ia dftü ' **chs*l ?rußk*Urt lat :uoa der 

: sitlij cLn&etafotBiie . achiol dar int*rulLiiartin FunkE^ett - 
alrjlie E23 T^OO T J)tr - bcaerkennTOjrt. 

Cen- Banat» 

t*w(--v und 

Abb. 162a . Eintragung im Kriegstagebuch des Chefs der deutschen Marinefunkaufklärung: 

“Da aber z.Zt. keins der englischen Haupt verfahren mit gelesen werden kann ...” 
“Der erkannte Wechsel des Schlüssels ‘Frankfurt’ ist durch X-B-Meldung 1145A 
an 1., 2. und 3. Ski verbreitet worden...” 


In der Tat konnte der B-Dienst von April 1940 an ein Drittel bis die Hälfte 
der aktuellen Naval Cipher mitlesen, einschließlich des ,Merchant Navy Code‘. 
Als die Briten am 20. August 1940 Naval Cipher No. 2 (deutscher Deckname 
„Köln“) einführten, wurde dieser Code gegen Ende 1940 teilweise gebrochen 
und voll von von Februar 1941 an für gut zwei Jahre, also während des 
Höhepunkts des U-Boot-Krieges,. Damit wurde auch der für die Atlantik- 
Geleitzugrouten der Alliierten verwendete Code Naval Cypher No. 3 (deut¬ 
scher Deckname: „Frankfurt“) kompromittiert (Abb. 161a). Zum Abstreifen 
der Überchiffrierung wurden sechs Hollerith-Tabelliermaschinen verwendet, 
die halfen, Parallelstellen festzustellen. Gegen Ende 1942 wurden 80% der 
Funksprüche entziffert, jedoch nur 10% so rechtzeitig, daß sie Operationen 
nutzbar waren. Dönitz gab an, daß die Hälfte seiner gesamten Informatio¬ 
nen aus dieser Quelle stammte. Sie versiegte erst, nachdem Commander 
(später Vizeadmiral und Sir) Norman Denning in Bletchley Park aus ent¬ 
zifferten ENIGMA-Quellen Verdacht schöpfte und die Alliierten am 10. Juni 
1943 Naval Cypher No. 3 aufgaben und anfingen, Naval Cypher No. 5 zu ge¬ 
brauchen. Trotzdem gelangen noch weiterhin Entzifferungen (Abb. 162a). 
Die britische Führung konnte sich, wie die deutsche, nur sehr schwer zu 
der Überzeugung durchringen, daß ihre Chiffrierung gebrochen war. Pa¬ 
trick Beesly gibt Bletchley Park die Schuld, wo man offensiv eingestellt war 
und wenig für die Sicherheit der eigenen Chiffrierverfahren tat. Colin Burke 
berichtet von Rivalitäten und gedrosseltem Informationsfluß zwischen dem 
Vereinigten Königreich und den Vereinigten Staaten 1942. Für die Kriegs¬ 
marinen endete das im Oktober 1942, für die Armee dauerte es bis ungefähr 
September 1943 (vgl. 19.7.3); schließlich entwickelte sich jedoch eine beispiel¬ 
lose, von gegenseitigem Vertrauen getragene Zusammenarbeit. 
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Abb. 162b. Vergleich eines Funkbefehls des CINCWA vom 14. September 1943 an 

Geleitzug ONS 18 mit Entzifferung durch den B-Dienst der Kriegsmarine: 

,Treffpunkt 16.9. 1400 Uhr [deutsche Sommerzeit] Position 56 08 N 16 19 W‘ 


Es wurde oft die Frage gestellt: Wurde die Schlacht auf dem Atlantik durch 
Kryptanalyse entschieden? Jürgen Rohwer und Harry Hinsley haben darauf 
hingewiesen, daß die Situation ziemlich ausgeglichen war, solange die Briten 
zu einen defensiven Seekrieg gezwungen waren. Erst um die Mitte 1943, als 
die allierten Seestreitkräfte stark genug waren, den anti-U-Boot-Krieg offen¬ 
siven zu führen, gerieten die deutschen U-Boote zusehends in Bedrängnis. 

Die Erfolge des B-Dienstes hatten Tradition: Zu Kriegsbeginn las er bereits 
die Naval Cypher No. 1, einen 4-ziffrigen überchiffrierten Code; das wurde 
ihm ermöglicht durch eine 1935 im Abessinienkrieg erfolgte Kompromittie- 
rung mit dem 5-ziffrigen, weithin benutzten Naval Code, der bereits gebro¬ 
chen war. Bei der Eroberung Norwegens im April-Mai 1940 gelang es der 
Kriegsmarine stets, ein genaues Bild der Situation in der British Admiralty 
zu haben, bis eine Änderung der Chiffrierung im August 1940 den B-Dienst 
zeitweilig zurückwarf. Kahn zitiert eine anonyme Quelle u If one man in 
German intelligence ever held the keys to victory in World War II, it was 
Wilhelm Tranow Daß es keine Schlüssel zu diesem Sieg gab, dafür hatte 
Hitler gesorgt. 

Die Reichswehr brach, Hüttenhain zufolge, Anfang der dreißiger Jahre den 
Verkehr des französischen Kriegsministeriums mit den französischen Wehr¬ 
kreisen. Die Chiffrierung war allerdings miserabel: Ein über lange Jahre fest¬ 
bleibender numeraler Code wurde periodisch mit einem VIGENERE mod. 
10 überchiffriert, die Periode schwankte zwischen 7 und 31. Alle Sprüche 
konnten mitgelesen werden. Lediglich im Verkehr mit dem an Italien angren¬ 
zenden Wehrkreis wurde ein anderes Verfahren verwendet, ein anderer Code 
mit einer Transposition als Überchiffrierung. 1938 gelang Chi auch hier der 
Bruch. Das französische Kriegsministerium verfügte, daß dieses Verfahren auf 
alle Wehrkreise ausgedehnt wurde, als am 3. September 1939 der Krieg mit 
Deutschland ausbrach. Damit konnten die Deutschen sofort den ganzen fran¬ 
zösischen Dienst verkehr mitlesen, was ihnen im Frankreichfeldzug im Juni 
1940 große Vorteile brachte. Frankreich hatte den Fehler (11.1.3) gemacht, 
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ein Chiffrierverfahren, das bereits längere Zeit in einem kleinen Bereich be¬ 
nutzt wurde, zum Hauptverfahren für einen großen Bereich zu machen. 



Hans Rohrbach 
(1903-1993) 


Der Erfolg, den Hans Rohrbach von 1942 bis September 
1944 gegen das Streifenverfahren der U.S.-Diplomatie er¬ 
zielte, wurde schon in 14.3.6 geschildert. In 14.6 wurde 
auf die Rolle, die die sogenannten CQ-Funksprüche des 
State Departments in Washington spielten, hingewiesen. 

Demgegenüber bescheiden war der in 19.4.1 erwähnte Er¬ 
folg gegen den rumänischen Militärattache. Militärat¬ 
taches scheinen besonders beliebte Angriffsziele zu sein: 
Als Rommel in Nordafrika gegen die britische 8. Armee 
Montgomerys kämpfte, konnte in Berlin im Herbst 1941 
die Chiffrierung des amerikanischen Militärattaches in 
Cairo, Oberst Frank Bonner Fellers (später BrigadegeneraJ und Führungsge¬ 
hilfe von General Douglas Mc Arthur ) entziffert werden — teils weil Fellers 
die unausrottbare Gewohnheit hatte, sein Sprüche stereotyp beginnen zu las¬ 
sen, teils weil Italien, damals noch im Frieden mit den U.S.A., in der ame¬ 
rikanischen Botschaft in Rom das Codebuch zum Kopieren „auslieh“. Fel¬ 
lers meldete im brandneuen Code BLACK täglich unter anderem die Pläne 
der 8. Armee für den nächsten Tag, Rommel konnte stets innerhalb weniger 
Stunden bedient werden. Die U.S.A waren kryptologisch ein unsicherer Ver¬ 
bündeter Großbritanniens. Italien versuchte vorsichtiger zu sein: Der Chef 
des Nachrichtendienstes, General Cesare Arne, überließ den Deutschen nicht 
das Codebuch, sondern nur die Entzifferungen. Mit dieser Klartext-Geheim- 
text-Kompromittierung gelang aber Berlin die Rekonstruktion des Codebu¬ 
ches. Der Bruch hatte im Juni katastrophale Folgen für einen für Malta 
bestimmten Geleitzug; Bletchley Park schöpfte wieder einmal Verdacht und 
Fellers mußte seinen Posten verlassen. Trotzdem wurde er mit der Distin- 
guished Service Medal ausgezeichnet. Er war fast so schlimm wie Murphy. 


Die Funker der U.S.Army waren im Gebrauch ihrer Ha¬ 
gelin-Maschinen, der M-209, ebenso undiszipliniert wie 
ihre deutschen Kollegen: als Spruchschlüssel von 6 Buch¬ 
staben wählten sie vorzugsweise Vornamen ihrer Lieb¬ 
chen, und so meistens einen Tag lang immer wieder 
den selben Schlüssel. Solche phasengleichen Chiffrie¬ 
rungen ermöglichten Erich Hüttenhain fortwährend den 
Einbruch in die ohnehin nicht sehr sichere, involutori- 
sche Beaufort-Chiffrierung. Generalfeldmarschall Erwin 
Rommel „hat davon profitiert“ (Otto Leiberich ). 



Erich Hüttenhain 
(1905-1990) 


22 . 1.2 Japan versuchte, neben chinesischen hauptsächlich amerikanische 
Codes zu brechen. Allzu schwer war das nicht, da trotz Yardleys Warnung 
(8.5.6) die U.S. Diplomatie leichtsinnig blieb: Unter Roosevelt wurde ein 
neuer Code, BROWN eingeführt. Er fiel bald darauf einer Bande von Ein- 
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brechern in Zagreb in die Hände, war also nachweislich kompromittiert. Da 
es sich offenbar ,lediglich um Kriminelle handelte, wurde BROWN nicht aus 
dem Verkehr gezogen. Und Stanley K. Hornbeck schrieb seinem Chef, dem 
Secretary of State Stimson : “Mr. Secretary: I have the feeling that it is 
altogether probable that the Japanese are c breaking’ every conßdential tele- 
gram that goes to and from us”. Die Unsicherheit amerikanischer diplomati¬ 
scher Codes wurde als unvermeidlich hingenommen. Da nimmt es nicht wun¬ 
der, daß der Entzifferungsdienst des japanischen Außenministeriums, angö 
kenkyühan, gelegentlich einfachere Codes — GRAY beispielsweise entzif¬ 
fern konnte. Mit BROWN gelang es ihm und auch tokumuhan , dem Entzif¬ 
ferungsdienst des Admiralstabs, nicht. Da mußte schon ein Einbruch helfen: 
Unter der Führung von Hauptmann Hideya Morikawa wurde gegen Ende 
1937 im amerikanischen Konsulat in Kobe der BROWN Code und das Schie¬ 
bergerät M-138 photographiert, dessen Aussehen den Japanern bis dahin 
unbekannt war. Es gelang ihnen aber nicht, den M-138-Verkehr mitzulesen. 
toku mu han stürzte sich dann auf das verwandte Schiebergerät CSP-642 der 
U.S.Navy (14.3.5). Ihre Ausbeute war gering, weil sie methodisch rückstän¬ 
dig waren. Von den Deutschen hatten sie jedoch den BAMS Code (4.4.5) 
erhalten, den diese am 10. Juli 1940 durch ihren Hilfskreuzer Atlantis auf 
dem britischen Dampfer Automedon erbeutet hatten. Die Japaner brauchten 
also nur die Uber Chiffrierung abzustreifen, was ihnen natürlich gelang. 

In der umgekehrten Richtung war mehr Erfolg zu verzeichnen. Die U.S.A., 
die die Hauptlast des Kriegs der Alliierten im Pazifik trugen, hatten auch die 
meisten Erfolge in der Entzifferung japanischer Funksprüche zu verzeichnen. 
Daß die japanische Sprache für den westlichen Kultur kreis zunächst fremd¬ 
artig und undurchdringlich erscheint, schützte jedenfalls Japan nicht vor der 
Entzifferung seiner Geheimnisse. Die Amerikaner durchlöcherten japanische 
Codes und Chiffrierungen in den zwanziger ( Yardley ), dreißiger ( Holtwick) 
und vierziger Jahren (Rosen). Es gibt zuverlässige Berichte (19.3.2), wonach 
auch die deutsche Seite die japanische PURPLE-Chiffrierung ständig brach. 
Abgesehen von den spektakulären ‘Venona breaks’ (8.8.7) weiß man wenig 
über Erfolge der U.S.A. im Brechen sowjetrussischer Chiffrierungen während 
des Kalten Kriegs. Im Jahre 1972, während der Gespräche zur Begrenzung 
strategischer Waffen, gelang den Amerikanern ein Treffer, aber das war ein 
glücklicher Zufall (“... but the solution was a fluke, made possible by a Soviet 
enciphering error” , Kahn). So etwas gelingt hie und dann. Und wenn es öfter 
gelungen sein sollte, gab es Grund genug, sich nicht damit zu brüsten. 

22 . 1.3 Die Sowjetunion hatte, obschon der Schwerpunkt ihrer nachrichten¬ 
dienstlichen Bemühungen auf Abhören, Ausspähen, Diebstahl und Erpres¬ 
sung beruhte, auch im Kalten Krieg kryptanalytische Erfolge, so etwa gegen 
die Schweizer Diplomatie, die mit Hagelin-Maschinen arbeitete, und ähnlich 
gegen Italien — von kleineren Nationen ganz abgesehen. 

Gegen Ende des 2. Weltkriegs nahm auch die Zahl der von der Roten Ar¬ 
mee erbeuteten ENIGMA-Schlüsselunterlagen derart zu, daß der Prozent- 



454 22 Abschließende Bemerkungen 


satz ihrer Erfolge gegen den ENIGMA-Verkehr der deutschen Wehrmacht 
beträchtlich wurde. Jedoch gab es allem Anschein nach keine den polnischen, 
britischen und U.S.-amerikanischen Bomben vergleichbare Codebrecherma¬ 
schinen. Zur Zeit des Kalten Krieges war die Sowjetunion, Louis Tordeila 
zufolge, sogar gegen die von der NATO verwendete KW-7 erfolgreich. David 
Kahn spürte 1992 einen zwischenzeitlich in England lebenden Russen, Victor 
Makarov , auf, der als Übersetzer Einblicke in die Tätigkeit des 16. Direkto¬ 
rats des KGB (Direktor: General Andrei Nicolayevich Andreyev) gewonnen 
hatte. Von ihm und durch späteren Kontakt mit Andreyev erfuhr Kahn etli¬ 
che Details, so etwa daß die sowjetische Kryptanalyse unter Sergei Tolstoy ab 
Ende 1941 gegen die japanische PURPLE erfolgreich war, und auch, daß das 
KGB einen Supercomputer, SWORD genannt, für Kryptanalyse benutzte. 
Ein technisch komplettes Bild der sowjetischen Kryptanalyse fehlt jedoch. 

22.2 Arbeitsweise des unbefugten Entzifferers 

„Es ist natürlich nur die Arbeit des unberufenen Entzifferers, die mathematisch 
von Interesse ist, wobei überdies an einen erfahrenen Entzifferer gedacht ist. 
Die Erfahrung im Entziffern muß durch langjährige Übung erworben werden. 
Hierbei wird sich der Entzifferer je nach Anlage und Neigung zu einem mehr 
sprachlich oder zu einem mehr mathematisch geschulten entwickeln. Lösungen 
von genügend komplizierten Verfahren sind Gemeinschaftsarbeit mehrerer Ent¬ 
zifferer beider Richtungen, deren jede wieder besondere Spezialisten hat. Die 
Mathematiker benötigen insbesondere Spezialisten für maschinelle Methoden.“ 

Hans Rohrbach 1949 


u Deciphering is an affair of time, ingenuity and patience” 

Charles Babbage 1864 

u The cryptograph er ’s main requisites are probably patience, accuracy, stamina, 
a reasonable clear hand, some experience, and an ability to work with othersP 

Christopher Morris 1992 

Da ich kein professioneller Entzifferer bin, fällt es mir sowohl schwer wie 
leicht, mich abschließend über die Arbeitsweise des unbefugten Entzifferers zu 
äußern. Schwer, weil ich meine eigenen Erfahrungen nicht mit Schweiß und 
Tränen gesammelt habe. Leicht, weil ich dabei nicht in Gefahr bin, durch 
Erfolge geblendet oder durch Mißerfolge verbittert zu sein. Jedenfalls kann 
man der Literatur entnehmen, daß berufsmäßige Entzifferer kein leichtes Le¬ 
ben haben. Rejewski , beispielsweise, ging nach Polen zurück und zog ei¬ 
ner Universitätslaufbahn die Stellung eines kaufmännischen Direktors vor. 
Alastair Denniston gab seinem Sohn Robin den Rat: u Do what you like to 
do, but don’t do what I do.” Robin Denniston wurde Verleger. Manchem 
mag es schwer gefallen sein, zwanzig, dreißig und vierzig Jahre lang abso¬ 
lutes Stillschweigen bewahren zu müssen; sogar in Situationen wie der von 
Jack Good , der in einem Hotel in der Nähe von Bletchley Park einquartiert 
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wurde und dem ein pensionierter Bankbeamter eine lebhafte Beschreibung 
einer kommerziellen ENIGMA gab, die seine Bank in seiner früheren Zeit 
benutzt hatte. 

22.2.1 Die Arbeit eines professionellen Entzifferers ist undankbar, es ist 
ihm nicht erlaubt seine Erfolge öffentlich oder auch nur im Kreise seiner 
Fanilie zu feiern; ja nicht einmal seine engsten Angehörigen dürfen wissen, 
was er tut. Er steht ständig in der Gefahr, entführt oder erpreßt zu werden. 
Die damit verbundenen Beschränkungen bestehen üblicherweise auch nach 
Beendigung seines aktiven Dienstes. 

Andrerseits hat Ralph V. Anderson , der im Jahre 1940 den code room des 
U.S. Navy Department in Washington, D.C. betrat und 1946 in kryptologi¬ 
schen Funktionen an das Department of State überwechselte, wo er für mehr 
als zwanzig Jahre diente, bekannt: u If I had been given the choice of any 
Position I wanted , I would have chosen the one I had.” Jedem das seine. 

22.2.2 Schwierig finde ich es, allgemeine Aussagen über anzuwendende Me¬ 
thoden zu machen. Der Rat von Bazeries , der ein sehr erfolgreicher Kryptana- 
lyst war, c changer sonfusil d’epaule », ist allerdings nur für Leute bestimmt, 
die genügend Phantasie haben. Man darf keine Scheuklappen haben, keine 
eingefahrenen Geleise benutzen. Das Beispiel von Turing und Welchman 
zeigt es: In ihrer Unerfahrenheit lag ihre Stärke. Damit waren sie besser 
als Dillwyn Knox , der viel erfahrener war, aber auch weniger wagemutig. 
Als Mannschaft waren Turing und Knox unschlagbar, und sogar Turing und 
Welchman erzielten mehr als die Summe ihrer einzelnen Leistungen. 

Eines wird jedenfalls dem erfolgreichen unbefugten Entzifferer nicht passie¬ 
ren: Er wird sich nicht abschrecken lassen von der angeblichen Komple¬ 
xität der Aufgabe. Die Polen waren erfolgreich, weil sie eine von Hand zu 
zeitraubende Analyse automatisierten und damit die Erwartungen von Chi, 
wie lange es dauern würde, durch Parallelisierung um den Faktor sechs und 
durch Mechanisierung mindestens um den Faktor zwanzig unterboten. Die 
Welchman-Bombe gar macht, wie Welchman nicht ohne Stolz sagte, Tril¬ 
lionen von Möglichkeiten der Stecker Verbindungen belanglos, weil sich die 
lawinenartige Ausbreitung der Spannung in einer vergleichsweise einfachen 
Schaltung “in less than a thousandth of a second” bewerkstelligen läßt. 

22.2.3 Im Prinzip gibt es unendlich viele kryptanalytische Methoden. 
Nachfolgend nun eine zusammenfassende Übersicht über die Strategie des 
Angriffs. 

22.2.3.1 Die reinste Form der unbefugten Entzifferung (‘pure cryptanaly- 
sis’) macht keinerlei Voraussetzungen; sie braucht auch den Linguisten nicht, 
denn sie ist mathematisch von Natur. Wie David Kahn sagte, funktioniert 
sie im Prinzip sogar für eine dem Entzifferer nicht bekannte Sprache, etwa 
der letzten Zwischensprache bei einer Komposition von zwei oder mehr Ver¬ 
fahren, wie überchiffrierter Code bei unbekanntem Codebuch. Reine Krypt- 
analyse ist direkt geeignet für maschinelle Durchführung und kann in der 
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Form eines Rechnerprogramms beschrieben werden. Reine Kryptanalyse 
benötigt jedoch, und das ist ihre Schwäche, in der Regel längere Geheimtexte 
als jede der übrigen Methoden. In einigen Fällen einer Klartext-Klartext- 
Kompromittierung, beispielsweise der Periodenbestimmung für eine poly¬ 
alphabetische Chiffrierung (18. Kapitel) oder der phasengerechten Ausrich¬ 
tung einiger polyalphabetisch, mit verschiedenen Schlüsselanfängen, chiffrier¬ 
ter Texte, wie auch im Fall einer Geheimtext-Geheimtext-Kompromittierung 
(19. Kapitel), bewirkt reine Kryptanalyse die Reduktion zu einer monoal¬ 
phabetischen, möglicherweise polygraphischen Zwischensprache, einer Chif¬ 
frierung der Klartextsprache, die bedenkenlos den Klauen des Linguisten 
überlassen werden kann. 

22 . 2 . 3.2 Reine Kryptanalyse ist ein Spezialfall eines Angriffs (‘ ciphertext- 
only attack\ 6 known ciphertext attack ’), der lediglich Überlegungen und An¬ 
nahmen über die Art der zugrundeliegenden Sprache einbezieht. Beispiels¬ 
weise wird zunächst nur die Verteilung der Einzelzeichen-Häufigkeiten fest ge¬ 
stellt. Ist es die einer bekannten natürlichen Sprache, können alle Chiffrier¬ 
verfahren ausgeschlossen werden, die Häufigkeiten nivellieren, insbesondere 
echt polygraphische (sofern sie nicht Häufigkeiten Vortäuschen, vgl. 4.1.2) und 
echt polyalphabetische Chiffrierungen; unter den verbleibenden sind funk¬ 
tionale einfache Substitutionen, Transpositionen und deren Kompositionen. 
Sind sogar die einzelnen Häufigkeiten die einer gewissen natürlichen Spra¬ 
che, können auch echte einfache Substitutionen ausgeschlossen werden; un¬ 
ter den verbleibenden sind Transpositionen wie auch solche polygraphische 
Substitutionen, die die Häufigkeiten eben dieser Sprache Vortäuschen. Die 
Häufigkeitsuntersuchung (15. Kapitel) eignet sich somit sowohl zum Brechen 
einer monoalphabetischen Substitution wie zum Abstreifen einer einfachen 
Substitution von einer Transposition. 

Ist aber die Verteilung der Einzelzeichen-Häufigkeiten nivelliert, so besteht 
umgekehrt (wenn man den Gebrauch von Homophonen ausschließen kann) 
Verdacht auf eine polyalphabetische Chiffrierung und/oder auf eine polygra¬ 
phische Chiffrierung. Beiden Möglichkeiten muß nachgegangen werden. Für 
den ersten Fall ist (vgl. 17. Kapitel) Periodenbestimmung angezeigt — mit 
der Aussicht auf Reduktion zu einer monoalphabetischen einfachen oder auch 
echt polygraphischen Substitution. Gelingt dies nicht, so könnte bereits eine 
monoalphabetische polygraphische Substitution vorliegen; es könnte sich aber 
auch um eine fortlaufende polyalphabetische Chiffrierung handeln. In diesem, 
unter den heutigen Umständen realistischen Fall ist Superimposition ange¬ 
zeigt, sofern eine Klartext-Klartext-Kompromittierung vorliegt. 

22 . 2 . 3.3 Viel stärker linguistischer Natur sind die Methoden, die auf par¬ 
tiellen oder totalen Klartext-Geheimtext-Kompromittierungen beruhen. Die 
Methoden der Mustererkennung (13., 14. Kapitel) verlangen zumindest Hin¬ 
weise auf wahrscheinliche Wörter oder Phrasen; im besten Fall erhält man 
solche aus einer Klartext-Geheimtext-Kompromittierung. Zur Erzielung ei¬ 
ner solchen ist Schläue angebracht. Schläue ist erforderlich beim Finden 
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guter wahrscheinlicher Wörter. Dazu gehört auch Einfühlungsvermögen in 
die Denk- und Redensarten des Gegners. Bei den Briten in Bletchley Park 
waren Champions bei der Zubereitung der cribs (vgl. 19.7) der linguistisch 
orientierte Mathematiker Shaun Wylie und die Philologin Hilary Hinsley nee 
Brett-Smith. Es gab aber auch Leute mit einer Art abstrakter Fähigkeit, 
Muster aufzuspüren, wie der Schachchampion Hugh Alexander und die for¬ 
mal begabte Germanistin Mavis Batey nee Lever 5 , die mit großem Geschick 
dem banburismus (19.6.4.3) huldigten. 

Es gehört natürlich dazu, daß der unbefugte Entzifferer über alle Erkenntnisse 
der Aufklärung verfügt, auch über solche, die durch andere unbefugte Entzif¬ 
ferer erzielt wurden, und vor allem über solche, die durch andere Methoden — 
Befragung von Gefangenen, Aushorchung der Bevölkerung, Abhören und 
Spionage erzielt wurden. Diese Forderung läßt sich kaum mit allgemeinen 
Sicherheitsmaßnahmen verbinden ( u need to know”-Doktrin) und schon gar 
nicht unter politischen Maßstäben realisieren — im 2. Weltkrieg hätte dann 
Churchill am besten selbst die cribs zubereitet. 

Diesem Normalfall des ‘known plaintext attack 7 steht gegenüber die Herbei¬ 
führung einer Klartext-Geheimtext-Kompromittierung durch List (‘chosen 
plaintext attack 7 ). List ist unerschöpflich: Vorfälle, über die berichtet wurde, 
variieren von solchen, bei denen ein bestimmter Vorfall ausgelöst wurde („er¬ 
loschen ist leuchttonne“, vgl. 11.1.3, Fußnote 2), bis zu solchen, bei denen 
dem Gegner eine Nachricht unterschoben wurde (das japanische Kuckucksei, 
11.1.2; Figls Zeitungsfutter, 11.1.2). 

Sogar eine Geheimtext-Geheimtext-Kompromittierung ist in dieser Weise 
nützlich, wenn das eine System schon gebrochen ist, weil dann eine Zurück¬ 
führung auf eine Klartext-Geheimtext-Kompromittierung gelingt. Zu einer 
solchen Fortsetzung eines Bruches wurden beispielsweise in Bletchley Park 
Notsituationen des Gegners herbeigeführt (,Gartenpflege c , 19.4.1). 

22.2.3.4 Eine besondere Angriffsart (‘chosen ciphertext attack 7 ) besteht bei 
asymmetrischen Chiffrierverfahren, die den Schlüssel zur Chiffrierung offenle¬ 
gen (,öffentliche Schlüsse^), wenn das Funktionieren eines eingriffsresistenten 
‘schwarzen Kastens’ zur Dechiffrierung aufgedeckt werden soll, also der pri¬ 
vate Schlüssel gesucht wird. 

22.2.4 Geheimtext-Geheimtext-Kompromittierung ist besonders tückisch, 
weil man sie so leicht übersieht. Sie kann provoziert werden durch die an 
sich gutgemeinte (vgl. 19.4.1) Einrichtung vieler Schlüsselnetze, wenn nicht 
äußerste Chiffrierdisziplin herrscht; sie entsteht auch als Folge kryptologi¬ 
scher Gedankenlosigkeit (Spruchschlüssel-Verdopplung bei der ENIGMA bis 
Mai 1940, vgl. 19.6.1). Spezifische Angriffsmethoden sind in 19.4 und 19.5 

5 Ihre Fähigkeiten können damit illustriert werden, daß ihr eines Tages auffiel, daß in einem 
ENIGMA-Chiffrat ein langer Teiltext kein L enthielt. Dies überhaupt zu bemerken, war 
unerhört. Sie zog aber auch den raffinierten Schluß, beim Klartext handle es sich um 
einen langen Füller mit lauter /I/, was sich bestätigte und zum Sieg der britischen Flotte 
über die italienische am 28. März 1941 bei Kap Matapän vor Griechenland beitrug. 
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diskutiert. Geheimtext-Geheimtext-Kompromittierung erlaubt reine Krypt- 
analyse und kann mit Supercomputern unterstützt werden. 

Öffentliche Schlüssel tragen von vornherein die Möglichkeit einer Geheimtext- 
Geheimtext-Kompromittierung in sich und sollten dagegen gesichert sein. 

22 . 2.5 Bei zusammengesetzten Verfahren versucht man, eine Chiffrierung 
nach der anderen abzustreifen. Dies ist besonders dann einfach, wenn über ein 
schon länger gebrauchtes, zwischenzeitlich gebrochenes Verfahren ein neues 
gelegt wird: Der Zwischentext ist dann als bekannte Sprache anzusehen; oder 
wenn ein schon länger gebrauchtes, zwischenzeitlich gebrochenes Verfahren 
als Überchiffrierung für eine neu eingeführte Chiffrierung benutzt wird (SD, 
19.6.3.1). Überhaupt hätten die deutschen Dienste die Fähigkeiten des polni¬ 
schen Büros, ihre ENIGMA zu brechen, gar nicht besser fördern können: Sie 
führten schrittweise neue Schikanen ein, die jedesmal zu spät kamen; so spät, 
daß die Polen wie die Briten nur jeweils einen Schritt bewältigen mußten. 
Dies passierte auch bei anderen Gelegenheiten: Als im April 1944 Dokumente 
über ein ,Reserve-Handschlüssel-Verfahren 4 auf Mykonos in feindliche Hände 
ßelen, änderte man das Verfahren nicht gänzlich, sondern nur schrittweise 
und erzog so die Briten. 

22.2.6 Nicht mehr ins Gebiet der reinen Kryptanalyse gehört die Beschaf¬ 
fung von gegnerischen Chiffrier- und Schlüsselunterlagen jeder Art bis hin 
zu ganzen Maschinen: durch illegalen Kauf, durch Ausspähung beim Zoll, 
durch Diebstahl und Einbruch, durch Kampfhandlungen (11.1.10). Die Er¬ 
fahrungen des 2. Weltkriegs haben Kerckhoffs Mahnung und Shannons Ma¬ 
xime „der Feind kennt das benutzte System“ voll bestätigt. Die SIGABA 
(ECM Mark II) der U.S. Army war eines der wenigen Geräte des 2. Weltkriegs, 
das allem Anschein nach nicht in gegnerische Hände fiel, und dies wohl auch 
nur, weil nach der Landung in der Normandie der Krieg kein Jahr mehr 
dauerte. 

Im übrigen dient auch die Zerstörung der leitungsgebundenen Nachrichten¬ 
verbindungen, wie sie die Alliierten vor und während der Landung in der 
Normandie betrieben, der Kryptanalyse; sie bewirkt “to force a proportion 
of useful intelligence on to the air” (Ralph Bennett). 

22 . 2.7 Die wichtigste Waffe zur Abwehr der Kryptanalyse scheint die Phan¬ 
tasie zu sein. Man muß sich in die Denkart des unbefugten Entzifferers voll¬ 
ständig hineindenken können und man muß das auch noch wollen. Psycho¬ 
logisch begründete Hemmnisse und Wunschvorstellungen sind ebenso fehl am 
Platz wie arrogante Überheblichkeit. Drei Beispiele von folgenschwerer Ge¬ 
dankenlosigkeit seien aus dem Bereich der ENIGMA-Entzifferung angeführt: 

1. Völlig unnötigerweise wurde anfangs bei der Luftwaffe nie der selbe Rotor 
in der selben Position an zwei aufeinanderfolgenden Tagen benutzt, und nie 
ein und die selbe Rotorenlage zweimal im selben Monat. Diese „scheinbare 
Zufälligkeit 44 sparte den Briten eine Menge Arbeit bei der Exhaustion der 
Rotorenlage, sobald erst eine unterbrechungsfreie Entzifferung gelungen war. 
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2. Völlig unnötigerweise durften niemals zwei aufeinanderfolgende Buchsta¬ 
ben, wie /a/ und /b/, durch Stecker verbunden werden. Das reduzierte die 
durchzuprüfenden Möglichkeiten für Steckerverbindungen und erlaubte den 
Briten sogar, eine eigene Fangschaltung dafür in die Bomben einzubauen, die 
sie witzigerweise CSKO , ‘consecutive Stecker knock-out ’ nannten. 

3. Völlig unnötigerweise war die Eingangs-Substitution (die durch das Ste¬ 
ckerbrett bewirkt wurde) involutorisch. Weder bei der britischen TYPEX 
noch bei der japanischen PURPLE war diese ,Vereinfachung‘ der Fall. Tat¬ 
sächlich benutzten die Deutschen gelegentlich die ,Uhr‘ (engl. Uhr box , Farb¬ 
tafel M), einen unnatürlichen und plumpen Zusatz, der die Steckerbrett- 
Substitution 6 (nicht jedoch die ENIGMA-Chiffrierung) nicht-involutorisch 
machte, und einen häufigen Wechsel, vermutlich alle vollen Stunden, erlaubte 
— ein schlagender Beweis dafür, daß die deutsche Führung Bedenken wegen 
der Sicherheit der ENIGMA hatte, aber nicht mehr viel dagegen tun konnte. 

Die kryptologische Abwehr muß nicht nur damit rechnen, daß der unbefugte 
Entzifferer viel Phantasie hat, sie muß selbst soviel Phantasie haben, daß sie 
sich die Phantasie des unbefugten Entzifferers vorstellen kann. 

Die Fehler im Umfeld der ENIGMA nannte Welchman “a comedy of er- 
rorsS Er schrieb: “The German errors ... stemmed from not exploring the 
theory of the Enigma cipher machine in sufhcient depth , from weakness in 
machine operating procedures , message-handling procedures , and radio net 
procedures; and above all from failure to monitor all procedures .” Spezifisch 
erwähnte er die Spruchschlüssel-Verdopplung, die ‘CiihV und L Herivel tips\ 
L Parkerism ’ (eine Angewohnheit der deutschen Hersteller von Chiffrier unter¬ 
lagen, die 1942 in Blüte stand, ganze monatliche Sequenzen von Diskriminan¬ 
ten, Ringstellungen, Rotorlagen und Steckerverbindungen nach einiger Zeit 
zu wiederholen); und nicht zuletzt dnadvertent assistancd deutscher Stabs¬ 
offiziere bei der Bereitstellung von cribs. All diese Fehler können ausschließ¬ 
lich den Menschen angelastet werden, die sich der ENIGMA bedienten: “the 
[ENIGMA] machine as it was would have been impregnable if it had been 
used proper ly .” 

22.3 Illusion der Sicherheit 

Welchman könnte ironisch hinzugefügt haben, daß gerade dies nicht erwar¬ 
tet werden darf — im Einklang mit Rohrbachs Maxime (11.2.5) daß keine 
Maschine und kein Kryptosystem jemals die ganze Zeit fehlerfrei benutzt wer¬ 
den. Der im Krieg dienstverpflichtete Mathematiker Hans Rohrbach wußte 
das, und Adolf Paschke , Vortragender Legationsrat im Auswärtigen Amt 
und nomineller Chef der Sprachengruppe des Pers Z, wußte es ebenfalls. 


6 Die ,Uhr‘ benutzt 10 Steckerpaare und hat 40 Positionen, von denen 10 (Nr. 00, 04, 08, 
... 36) die Involution bewahren. Der eingebaute Vertauscher bewirkt eine Permutation 
mit der Zyklendarstellung (1 31 5 39 9 23 17 27 33 19 21 3 29 35 13 11) (0 6 16 26) 
(2 4 18 24) (12 38 32 22) (14 36 34 20) (7 25) (8 30) (10 28) (15 37) . 
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Er lehnte strikt den Gebrauch der ENIGMA für diplomatische Kanäle ab, 
sogar für Gegenstände geringerer Bedeutung, wie Visaangelegenheiten. Chif¬ 
friermaschinen sah er scheel an, den Geheimschreiber T 52a betrachtete er 
als unsicher, tatsächlich fand man bei Paschke heraus, wie man den T 52a 
ohne viel Mühe brechen konnte. Das erklärt auch, warum Beurling keine 
unüberwindlichen Schwierigkeiten hatte. Und mit T 52e chiffrierte Nachrich¬ 
ten, die von Militärattaches über Kanäle des Auswärtigen Amtes geleitet 
wurden, wurden von den Leuten bei Pers Z übungshalber selbst gebrochen. 
Nur für nicht-geheime Nachrichten innerhalb Deutschlands über Drahtver¬ 
bindungen wurde T 52 als annehmbar angesehen. Eine Ausnahme machte 
man ab 1944 auf der Funkverbindung zwischen Berlin und der Botschaft in 
Madrid, wobei für Nachrichten bis zur Klassifizierung ‘Geheim’ der Lorenz 
Schlüsselzusatz SZ 42 verwendet wurde, nicht aber für solche mit der Spitzen¬ 
klassifikation ‘Geheime Reichssache’. Darin spiegelt sich die Vorsicht wider, 
die Pers Z walten ließ. 

Aber andernorts und anderswie blühte der Geist der illusionären Sicherheit. 
Wenn immer sich eine Gelegenheit fand für ein schnelleres und weniger si¬ 
cheres kryptographisches Verfahren, hatte es gute Aussichten. Wunschden¬ 
ken überwog. Abgesehen von den wenigen Fällen, wo individuelle Schlüssel 
überhaupt verwendet wurde, Zufallstests passierten und nur einmal gebraucht 
wurden, blieben nur sehr wenige kryptologische Systeme zwischen 1900 und 
1950 ungebrochen. Im Falle der ENIGMA blieben zwar die Schlüsselnetze 
,Neptun‘, ,Thetis 4 , ,Aegir 4 , ,Sleipnir‘ undurchdringbar, aber einige hatten 
nur wenig Verkehr oder wurden von den Alliierten als nicht bedeutsam ge¬ 
nug angesehen. 

Überwachung des eigenen Verkehrs wurde gelegentlich vorgenommen, bei¬ 
spielsweise wenn Frank Rowlett eine Schwachstelle herausfand in Friedmans 
Converter M-228 SIGCUM, der im Januar 1943 in Betrieb ging (8.8.6). Es 
hätte sich ausgezahlt, wenn beispielsweise im OKW eine Spezialgruppe den 
ENIGMA-Verkehr von Görings undisziplinierter Luftwaffe kontrolliert hätte; 
sie hätte die Löcher herausgefunden, von denen die Briten lebten, und hätte 
sie gestopft, um weiteres Unheil zu verhindern. 

Aber selbst Überwachung hilft wenig, wenn sie unzulänglich vorgenommen 
wird. Paschke wußte selbstverständlich, daß die individuellen Schlüssel des 
AA mechanisch hergestellt wurden durch eine Anordnung von 48 fünfziffrig- 
zählenden Druckern; nach jedem Druckvorgang wurden die meisten dieser 
Zähler in einer als unregelmäßig angesehenen Weise weitergestellt (‘komple¬ 
mentärer Antrieb’). Als besondere Vorsichtsmaßnahme galt, daß nacheinan¬ 
der gedruckte Bögen niemals in den selben Block gelegt wurden. Das schien 
vollkommen zu genügen, war aber unzureichend, wie die FLORADORA- 
Geschichte (8.8.7) beweist. 
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22.4 Kommunikationstheoretische Bedeutung 
der Kryptologie 

Der Leser, der dieses Buch Kapitel für Kapitel las, mag es zunächst schwer 
gefunden haben, ein gelegentliches Lächeln zu unterdrücken. Die historische 
Kryptologie ist voller spannender, lustiger, anzüglicher Geschichten. Das 
macht sie selbst für den Laien so reizvoll. 

Aber Schritt für Schritt ziehen ernste Schatten über die Geschichte der Kryp¬ 
tologie. Die Schlacht von Tannenberg im 1. Weltkrieg liefert ein Beispiel. Der 
Eintritt der U.S.A. in den fürchterlichen Krieg wurde ausgelöst durch die 
Entzifferung eines Telegramms mit Datum 16. Januar 1917 des deutschen 
Außenministers Arthur Zimmermann an seinen Botschafter in Mexiko, Hein¬ 
rich von Eckardt , das in Londons Boom 40 der Admiralty von Nigel de Grey 
entziffert wurde. Sein Inhalt Mexiko aufzustacheln gegen seinen nördlichen 
Nachbarn — wurde dem Präsidenten Woodrow Wilson zugespielt, der zu dem 
Schluß kam, daß u right is more precious than peace.” Und die Ereignisse aus 
dem 2. Weltkrieg spielen vor einem Hintergrund des Grauens. 

Die Zeit des Kalten Krieges hat ebenfalls ihre menschenverachtenden Züge 
gezeigt, die zwar durch Spionageromane verniedlicht wurden, aber nicht zu 
vergessen sind. 

Im Gespräch mit einem Angehörigen hoheitlicher Dienste ist immer Vorsicht 
und Taktgefühl am Platze. Manchmal tritt einem die Überlegenheit des 
Professionellen gegenüber, der zwar zeigt, daß er etwas weiß, aber nicht, 
was er weiß. Sich bedeckt zu halten, dazu besteht Grund, wie das Beispiel 
Welchman zeigt, der sich nach der Veröffentlichung seines Buches ‘The Hut 
Six Story’ Angriffen ausgesetzt sah. 

22 . 4.1 Kryptanalyse wurde von vielen Beteiligten als schwere Last emp¬ 
funden; nicht so sehr der Nervenbelastung wegen, sondern unter dem Druck 
des Gewissens. Diese Beschwernis teilt aber die Kryptologie nicht nur mit 
anderen Zweigen der Mathematik und der Informatik, die dem Mißbrauch 
offenstehen, sondern ganz besonders mit naturwissenschaftlichen Disziplinen 
wie Physik, Chemie und Biologie — es wird genügen, als Stichwörter Kern¬ 
energie , Giftgas, Genmanipulation zu nennen. Der Preis, den unser Jahrhun¬ 
dert für die enormen Fortschritte der Wissenschaft die ja niemand missen 
möchte — bezahlt, wird auch den Forschern selbst abverlangt: Sie müssen 
sich hohen Anforderungen an Menschlichkeit gewachsen zeigen. Der Zusam¬ 
menbruch einiger kommunistischer Unrechtssysteme und die wachsende Be¬ 
troffenheit der Menschen über ihre unbegrenzten Möglichkeiten läßt hoffen, 
daß die Forscher Einsicht und Zurückhaltung zeigen werden. 

Die Kryptologie braucht also ebensowenig wie die Naturwissenschaften ver¬ 
teufelt zu werden. Mit einer positiven Sicht sagen Meyer und Matyas: 

cc Cryptography is the only known practical means for protecting In¬ 
formation transmitted through large communication networks such as 
telephone lines, microwave, or satellite.” 
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und anderswo ist zu lesen 

“Cryptology has metamorphosized from an arcane art to a respectable 

subdiscipline of Computer Science ” 

Die Folklore drückt es auch so aus 

u Today, code-making and code-breaking are games anybody can play.” 

Tatsächlich finden sich heute wissenschaftliche Originalbeiträge kryptologi¬ 
scher Natur nicht nur in den (wenigen) Spezialzeitschriften und -Symposien, 
sondern in der gesamten Informatik, insbesondere in der Theoretischen In¬ 
formatik. Berührungen und gegenseitige Befruchtungen gibt es insbesondere 
mit der rasch aufstrebenden Komplexitätstheorie, mit der Theorie der for¬ 
malen Sprachen, und selbstverständlich weiterhin in der Mathematik mit der 
Zahlentheorie und der Kombinatorik. 

22 . 4.2 Aber auch in der Kryptologie selbst sind mit der Informationstheo¬ 
rie von Shannon und Renyi neue Inhalte hinzugekommen, und mit den public 
keys neue Denkweisen zwar nicht erst entstanden, aber in den Vordergrund 
getreten, wie etwa asymmetrische Chiffrierverfahren und Authentisierung. 
Letzteres Problem führt über die bloße Geheimhaltungstendenz hinaus auf 
allgemeine Gesichtspunkte der Kommunikation: Wird als Protokoll das ver¬ 
abredete Verfahren der Kommunikation bezeichnet, so schließt ein kryptogra- 
phisches Protokoll zwischen zwei Partnern Maßnahmen ein, die nicht nur vom 
Mißtrauen gegenüber allen Dritten getragen sind, sondern auch vom teilwei¬ 
sen Mißtrauen untereinander. Das Problem mag sein, wie die Partner gewisse 
Geheimnisse teilen können, ohne dadurch andere Geheimnisse preiszugeben. 
Das Problem mag auch sein, wie die Partner Schritt für Schritt Vertrauen auf¬ 
bauen, ohne dabei Risiken des Geheimnisverlusts einzugehen. Anwendungen 
auf das gegenseitige Verhalten von Großmächten, von Parteien, von Firmen¬ 
gruppen liegen auf der Hand. Als einfache und mehr alltägliche Beispiele 
mögen dienen: Der Vorgang des Nachweises eines Scheckkarteninhabers ge¬ 
genüber einer Bank (oder einem Bankautomaten), daß er der Eigentümer 
(und damit der rechtmäßige Besitzer) ist, oder eine Lizenzverhandlung, bei 
der der Erfinder den präsumtiven Lizenznehmer von der Brauchbarkeit und 
Wirksamkeit seines Verfahrens überzeugen muß, ohne dieses vor Vertrags¬ 
abschluß preiszugeben (gedeckter Beweis, engl. Zero-Knowledge Proof ): 
Der präsumtive Lizenznehmer erfährt vom Erfinder nichts, was er nicht selbst 
herausfinden könnte. 

Das Problem ist alt: Schon zu den Zeiten von Tartaglia und Cardano wußten 
Mathematiker ihre algebraischen Verfahren geheimzuhalten und nur Stück 
für Stück auf einzelne ihnen gestellte Probleme demonstrativ anzuwenden, 
prototypisch bei der Lösung von algebraischen Gleichungen durch Radikale. 
Wie man weiß, gelang es Cardano trotzdem, Tartaglia sein Verfahren für 
Gleichungen dritten Grades abzulisten. Der arme Niccolö Tartaglia hat un¬ 
sere volle Sympathie. 



22.4 Kommunikationstheoretische Bedeutung der Kryptologie 433 


22 . 4.3 Die Kryptanalyse im weitesten Sinn greift über den in diesem Buch 
geschilderten Rahmen hinaus. Die Erforschung der Natur ist oft eine Entzif¬ 
ferung ihrer Geheimnisse. 

Beispielsweise ist die Röntgen-Strukturanalyse von Proteinen eine kryptana- 
lytische Aufgabe: Zu bestimmen ist die Phasenlage, die zu einer gemessenen 
Amplitudenfunktion der Frequenzen im Röntgen-Beugungsbild gehört. Nur 
wenn Phasenlage (der zu findende Schlüssel) und Amplitudenfunktion (der 
Geheimtext) so zusammenpassen, daß sie eine physikalische Realität (den 
Klartext) mit positiver Elektronendichte und der richtigen Anzahl von Ato¬ 
men ergeben, ist die Entzifferung gelungen. Dabei spielen Annahmen über 
den Molekülaufbau — etwa die Struktur der Doppelwendel der DNA, die 
Watson und Crick vermuteten die Rolle wahrscheinlicher Wörter im Klar¬ 
text. Auf diese Sicht haben schon in den fünfziger Jahren Alan Turing und 
David Sayre hingewiesen. 

Das Auffinden einer Nadel im Heuhaufen bei der Suche nach Elementar¬ 
teilchen ist noch keine kryptanalytische Aufgabe, eher schon die von Nor¬ 
bert Wiener behandelte Glättung ( smoothing ) von Signalen, insbesondere 
das Abstreifen des Rauschens über einem Signal, wie es bei Übertragungen 
von und zu Weltraumfahrzeugen erforderlich ist. Das Auffinden von Mustern 
irgendeiner, bisher völlig unbekannten Art ist jedoch Kryptanalyse und kann 
sich deren fortgeschrittenen Methoden bedienen, etwa der Friedmanschen 
Koinzidenz-Untersuchung (Kullback-Entropie) oder des im Thringschen ban- 
burism verwendeten weight of evidence (Shannon-Entropie). Generell ist die 
Rolle, die die Renyi-Entropie und die im Anhang skizzierte Axiomatische 
Informationstheorie dabei spielen kann, noch zu erforschen. 

Und da ist schließlich die Hauptaufgabe des denkenden Menschen: Das Er¬ 
kennen von Situationen, das Bilden von Begriffen, das Gewinnen der Abstrak¬ 
tion. Das ist im weitesten Sinn eine kryptanalytische Aufgabe: Es gilt, etwas 
Verborgenes, etwas im Verborgenen bereits Existierendes herauszufinden. Es 
gilt, zwischen den Zeilen zu lesen, Intelligenz zu zeigen. Pure Cryptanalysis 
versucht das ohne Zutun von Intuition, ihr entspricht die schlagwortartige 
Artificial Intelligence , die, so weit sie reicht, auch nicht zu beanstanden ist. 
Das breite Instrumentarium der Kryptanalyse nutzt jedoch, wie dieses Buch 
gezeigt haben sollte, die Intuition, und das mit List und Schläue. 

Die Kryptanalyse kann also auch als Vorbild für die Methodik anderer Wis¬ 
senschaften dienen. In diesem Sinne ist dieses Buch geschrieben. Babbage 
schrieb ( u Passages from the Life of a Philosopher ”) 

u Deciphering is, in my opinion, one of the most fascinating of arts, and 

I fear I have wasted upon it more time than it deserves.” 

Ich habe dabei keine Mühe gescheut, aber hoffentlich doch keine Zeit ver¬ 
schwendet. 
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und praktische Sicherheit 


“The logic of secrecy was the mirror-image 
of the logic of information” 

Colin Burke, 1994 

Perfekte Sicherheit wurde seit jeher gerne von den Erfindern von Chiffriersy¬ 
stemen, im besonderen von Chiffriermaschinen, versprochen ( Bazeries : je suis 
indechiffrable , 2.1.1 Abb. 19). Jedoch gab erst 1949 Claude E. Shannon eine 
saubere Definition davon, was mit perfekter Sicherheit gemeint sei; er gab 
sie im allgemeinen Rahmen seiner Informationstheorie. 1 Da der wahrschein- 
lichkeitstheoretische Apparat, den sie benutzt, außerhalb des Rahmens dieses 
Buches liegt, geben wir nur eine verkürzte, dafür aber axiomatische Übersicht. 

A.l Axiome einer axiomatischen Informationstheorie 

Man geht zweckmäßigerweise aus von der Unsicherheit (engl, uncertainty 
equivocation) über eine Menge X von Ereignissen, der „Entropie“ von X 
— eine reelle Zahl . Auch y und Z seien Mengen von Ereignissen. 

Hy(X) bezeichne die Unsicherheit über A, falls y bekannt ist. 

A.l.l Intuitiv einleuchtende Axiome für die zweistellige Mengenfunktion H 
sind: 

(0) 0 < Hy(X) („Unsicherheit ist nichtnegativ“) 

Für 0 = Hy(X) sagen wir “y bestimmt eindeutig X .” 

(1) Hyuz(X) <Hz(X) („Unsicherheit nimmt nicht zu, wenn mehr bekannt“) 
Für Hy\jz(X) = Hz(X) sagen wir “y sagt nichts aus über X .” 

Von entscheidender Bedeutung ist das Axiom 

( 2 ) Hz(X uy) = H yu z(X) X Hz(y) • 

(„Unsicherheit kann additiv über der 

Vereinigung von Ereignissen aufgebaut werden“). 

1 Shannon hatte frühzeitig Berührung mit der Kryptanalyse; er arbeitete 1936-1938 im 
Team von Vannevar Bush , der den COMPARATOR zur Bestimmung der Zeichen- 
Koinzidenz entwickelte. Seine bis 1940 zurückreichende Arbeit in den Bell Laboratories 
(vgl. 16.5) führte zu einem vertraulichen Bericht (A Mathematical Theory of Communi- 
cation) vom 1. Sept. 1945, der neben der Definition der Shannon-Entropie (16.5) die nach¬ 
folgend erörterten Grundbeziehungen enthält (publiziert 1949: Communication Theory 
of Secrecy Systems, Bell System Technical Journal 28, 656-715 (1949). 
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(Das übliche stochastische Modell für diese axiomatische Informati¬ 
onstheorie geht aus von px(o) = Pr [X = a], der Wahrscheinlichkeit, 
daß die Zufallsvariable X den Wert a annimmt, und dehniert 

Hq({X}) = - Y Px{s)-\dp x {s) 

s : Px(s) >0 

Hv({X}ö {¥}) = - Y Px,YM-\dp x , Y (s,t) 

s,t:p X y(s,t) >0 

= - E Px,v(s,t ) • ld Px/Y(s/t ) 

Px/y(s/t ) >0 

wobei Px,r{a, b) =d e f Pr[(X — a) A(Y = 6)] und px/Y^/b) 
der Bayesschen Regel für bedingte Wahrscheinlichkeiten genügt: 

Px, Y {s,t) =p Y (i)-px/ Y (s/t) , also 
-ld Px,y(s, t) = -ld p Y {t) - ld p X /v{s/t) . ) 

A.1.2 Aus (0), (1) und (2) können all die anderen Eigenschaften erhalten 
werden, die für das klassischerweise übliche stochastische Modell gelten. 

Aus (2) ergibt sich mit y = 0 

(2a) H z ($) = 0 („Über die leere Ereignismenge gibt es keine Unsicherheit“) 
Aus (1) und (2) ergibt sich beispielsweise 

(3a) Hz(X U y) < Hz{X) + Hz(y) („Unsicherheit ist subadditiv“) 

Aus (0) und (2) ergibt sich überdies 

(3b) Hz(y) < Hz(X U X) („Unsicherheit wächst mit Ereignismenge“) 

Unter Benutzung der Kommutativität von . U . erhält man aus (2) 

( 4 ) H Z (X) - H yuZ (X) = H z (y) - H Xu z(y) 

(„X sagt nichts über X aus“ und V X sagt nichts über y aus“ sind gleichwertig) 

(4) legt folgende Dehnition nahe: Die gegenseitige Information (‘mutual 
Information’) von X und y bei Kenntnis von Z ist dehniert als 

Iz{X,y) = def Hz(X) - Hyuz(X) . 

Die Information Iz(X,y) ist somit eine symmetrische und wegen (1) nicht¬ 
negative Funktion der Ereignismengen X und y. Es ist wegen (2) 

Iz(X, y) = H Z (X) + H z (y) -Hz(xuy). 

Iz{X,y) = 0 besagt, daß H yu z(X) = H Z (X) und H X oz(y) = H z (y) ist. 
Dafür sagt man auch, daß „bei Kenntnis von Z y nichts über X aussagt 
und X nichts über y , daß also X und y gegenseitig unabhängig sind“. 

(Im üblichen stochastischen Modell hegt diese Situation gerade dann vor, 
wenn X, Y unabhängige Zufallsvariable sind: Px,y( s i Ü ~ Px(s) m PY(t) •) 
Iz(X,y) = 0 ist gleichwertig mit der Additivität von H : 

(5) Iz(X i y) = 0 genau dann, wenn Hz(X) + Hz(y) = üz(X U X) • 
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A.2 Informationstheorie von Chiffrierungen 

Für eine Chiffrierung X seien Ereignisse im Sinne der abstrakten Informa¬ 
tionstheorie Mengen von endlichen Texten, über Z m als Alphabet. Es sei 
P ein Klartext-, C ein Geheimtext-, K ein Schlüssel-Ereignis. 2 

A.2.1 Für die Unsicherheiten ( equivocations ) 

H(K), H C (K ), H P (K), H(C ), H P {C), H K (C ), H(P), H K (P ), H C (P) 
erhält man aus (1), invariant gegen zyklische Vertauschung von P,C,K: 

H(K) > H P (K) , H{C) > H P (C) , 

H{C) > H k [C) , H(P) > H k (P) , 

H(P) > H C (P) , H(K) > H C (K) . 

A.2.1.1 Ist X funktional, so ist C durch P und K eindeutig bestimmt: 

(CHIFF) H PiK (C) = 0 d.h. I K (P, C ) = H k (C) , I P (K, C) = H P (C) 

(„Klartext und Schlüssel zusammen lassen keine Unsicherheit über den 
Geheimtext zu“). 

A.2.1.2 Ist X injektiv, so ist P durch C und K eindeutig bestimmt: 
(DECHIFF) H c ,k(P) = 0 d - h - Ik(P,C) = H K (P) , I C {K,P) = H C (P) 

(„Geheimtext und Schlüssel zusammen lassen keine Unsicherheit über 
den Klartext zu“). 

A.2.1.3 Ist X eine Shannonsche Chiffrierung, so ist auch der Schlüssel K 
durch Klartext P und Geheimtext C eindeutig bestimmt: 

(SHANN) Hp, c {K) = 0 d.h. I P (K, C) = H P (K) , I C (K, P) = H C (K) 

(„Klartext und Geheimtext zusammen lassen keine Unsicherheit über 
den Schlüssel zu“). 

A.2.2 Aus (4) folgt sofort 

H k (C) + H KiC (P) = H k (P) + H PiK (C ), 

H P (C) + H PjC (K) = H P (K) + H PiK {C) , 

H k (P) + H KiP {C) = H k (C) + H c ,k(P) » 

H C (P) + HcA k ) = H C (K) + H c ,k{P) , 

H P (K) + HpAC) = H P (C) + HpAA , 

H C (K) + H c ,k(P) = H c(P) + H PiC {K) • 

Mit (1) erhält man daraus 

Satz 1: 

(CHIFF) impliziert H K (C) < H K (P) , H P (C) < H P (K) , 
(DECHIFF) impliziert H K (P) < H K (C) , H C (P) < Hc(K) , 

(SHANN) impliziert H P (K) < H P (C) , H C (K) < H c \p) . 


2 Einem weitverbreiteten notationeilen Mißbrauch folgend, ersetzen wir im folgenden {X} 
durch X und {X} U {V} durch X , Y ; auch lassen wir 0 als Subskript weg. 
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Abb. 163. Relationen zwischen Unsicherheiten für injektive Chiffrierungen 


Chiffrierungen sind normalerweise injektiv, (DECHIFF) gilt. Aus Abb. 163 
sind graphisch die daraus resultierenden numerischen Relationen zwischen 
den Unsicherheiten zu ersehen. 

A.2.3 Die Konjunktion von irgendwelchen zwei der drei Bedingungen 
(CHIFF), (DECHIFF), (SHANN) führt wegen der Antisymmetrie der 
Kleiner-Gleich-Relation zu Gleichheiten: 

Satz 2: 

(CHIFF) A (DECHIFF) impliziert H K (P) = H K (C) , 

(DECHIFF) A (SHANN) impliziert H C (P) = H C (K) , 

(CHIFF) A (SHANN) impliziert H P (C) = H P (K) . 

In einer klassischen Chiffrierung, d.h. einer ohne Homophone und Polyphone, 
gelten (CHIFF) und (DECHIFF), also 

„Die Unsicherheit über den Geheimtext bei Kenntnis des Schlüssels ist 
gleich der Unsicherheit über den Klartext bei Kenntnis des Schlüssels“. 

In vielen professionellen Chiffrierungen gilt (vgl. 2.6.4) die Shannon-Bedin¬ 
gung (SHANN). In einer klassischen Shannonschen Chiffrierung gelten alle 
drei Gleichheiten (Abb. 164). Monoalphabetische einfache Substitution und 
Transposition sind triviale, VIGENERE, BEAUFORT und VERNAM sind 
ernsthafte Beispiele solcher klassischen Shannonschen Chiffrierungen. 


H(K) H(C) 



H C (K) = H C (P) H k (P) = H k (C) 


Abb. 164. Relationen zwischen Unsicherheiten für klassische Shannonsche Chiffrierungen 
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A.3 Perfekte und individuelle Chiffrierungen 

A.3.1 Eine Chiffrierung X soll perfekt heißen, wenn Klartext und Geheim¬ 
text gegenseitig unabhängig sind: 

I(P,C)= 0. 

Dies ist äquivalent zu H(P) = Hc(P) und zu H(C) — H P (C) 

(„Ohne Kenntnis des Schlüssels ändert die Kenntnis des Geheimtextes 
nichts an der Unsicherheit über den Klartext, und die Kenntnis des 
Klartextes nichts an der Unsicherheit über den Geheimtext“), 

wie auch nach (5) äquivalent zu i/(P, C) — H(P) + H(C) . 

Satz 3 k : (Shannons pessimistische Ungleichung) 

In einer perfekten klassischen Chiffrierung gilt 

H(P) < H C (K) < H(K ) und H(C) < H P (K) < H(K) . 

Bew.: H(P) = H C (P) ( ist perfekt ) 

H C (P) < H C {K) (DECHIFF), Satz 1 

H C (K)<H(K) (1) 

Analog mit (CHIFF) und Satz 1 für H(C) . ex 

In einer perfekten klassischen Chiffrierung ist also die Unsicherheit über den 
Schlüssel nicht kleiner als die Unsicherheit über den Klartext sowie nicht 
kleiner als die Unsicherheit über den Geheimtext. 

A.3.2 Eine Chiffrierung X soll Chiffrierung mit individuellem Einmal- 
Schlüssel, kurz individuelle Chiffrierung heißen, wenn Klartext und 
Schlüssel gegenseitig unabhängig sind: 

I(K,P) = 0. 

Dies ist äquivalent zu H{K) = Hp(K) und zu H(P) = Hk(P) 

(„Ohne Kenntnis des Geheimtexts ändert die Kenntnis des Schlüssels 
nichts an der Unsicherheit über den Klartext, und die Kenntnis des 
Schlüssels nichts an der Unsicherheit über den Klartext“), 

wie auch nach (5) äquivalent zu H(K, P ) = H(K) + H(P) . 

Satz 3 C : 

In einer individuellen Shannonschen Chiffrierung gilt 

H(K) < H P (C) < H(C) und H{P) < H K (C) < H{C) . 

Bew.: H(K) — H P (K) ( ist individuell) 

H P (K) < H P (C) (SHANN), Satz 1 

H P {C) < H(C) (1) 

Analog mit (DECHIFF) und Satz 1 für H{P) . x 

In einer individuellen Shannonschen Chiffrierung ist also die Unsicherheit 
über den Schlüssel wie auch über den Klartext kleiner oder gleich der Unsi¬ 
cherheit über den Geheimtext. 
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Abb. 165. Relationen zwischen Unsicherheiten für klassische Shannonsche 
Chiffrierungen mit den Eigenschaften perfekt und individuell 

A.3.2 In einer klassischen Shannonschen Chiffrierung gilt noch mehr: Aus 
den Relationen in Abb. 165 und speziell in Abb. 166 sieht man sofort 

Satz 4 : 

In einer klassischen Shannonschen Chiffrierung, die perfekt ist, gelten 
H(P) = H C (P) = H C (K) und H(C) = H P (C) = H P (K) , 

H(K) > H(C) sowie H(P) — (H(K) — H(C)) = H K {C) = H K (P) . 

In einer individuellen klassischen Shannonschen Chiffrierung gelten 
H(K) = Hp(K) = H P (C) und H(P) = H K (P) = H K (C) , 

H(C) > H(K) sowie H(P) - (H(C) - H{K)) = H C (K) = H C (P) ■ 

Bew.: Mit (DECHIFF) und (SHANN) folgt aus Satz 2 H C {P) = H C (K) und 
somit nach beidseitiger Addition von H ( C) gemäß (2) H ( P , C) = H(K, C ). 
In einer perfekten Chiffrierung ist (A.3.1) H(P,C) = H{P) + H(C) ; 
mit (2) erhält man H(K, C) = H(K) + Hk(C) , 

also H k (C) = H(P) - ( H(K) - H{C)) . 

Ähnlich folgt mit (CHIFF) und (SHANN) aus Satz 2 H P (K) = H P {C) und 
nach beidseitiger Addition von H(P) gemäß (2) H(P,C) = H(K,P) . 

In einer individuellen Chiffrierung ist H(K, P) = H(K ) + H(P) ; 
mit (2) erhält man H(P, C ) = H(C) + Hc(P) , 

also H C (P) = H(C) - ( H(K) - H(P)) . 


H(K) 


VI 



H P (K) = H P {C) 


H(C) 


H C (K) = H C (P) 



VI 

H k (C) 


Abb. 166. Relationen zwischen Unsicherheiten für 

perfekte klassische Shannonsche Chiffrierungen 
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A.4 Shannonscher Hauptsatz 

A.4.1 Für eine klassische Shannonsche Chiffrierung, die perfekt und indivi¬ 
duell ist, gilt nach Satz 3 (s. auch Abb. 165) H(K ) = H(C ). 

A.4.2 Eine Chiffrierung soll vom Vernamschen Typ heißen, wenn 

H(K) = H(C). 

(Im stochastischen Modell ist diese Bedingung insbesondere erfüllt, wenn 
C und K Texte von k Zeichen mit maximalem H(K) und maximalem 
H{C) sind: H(K) = H(C) = k AdN 

Beispiele liefern VIGENERE, BEAUFORT und speziell VERNAM, desglei¬ 
chen lineare polygraphische Blockchiffrierungen mit geeigneten Schlüsseln. 

Shannonscher Hauptsatz (Claude E. Shannon 1949 ) : 

In einer klassischen Shannonschen Chiffrierung ziehen je zwei der drei Eigen¬ 
schaften ist perfekt, ist individuell, ist vom Vernamschen Typ 
die dritte nach sich. Der Beweis ist offensichtlich aus Abb. 165. 

A.4.3 Um einer klassischen Shannonschen Chiffrierung perfekte Sicherheit 
zu geben, ist es also hinreichend, daß es vom Vernamschen Typ ist und 
daß der Schlüssel individuell ist; beides sind Bedingungen, die von außen 
gewährleistet werden können. Nach Satz 3 gilt dann H(P) < H(K) = H(C). 

(Im stochastischen Modell verlangt aber diese perfekte Sicherheit, daß 
eine sichere Verteilung eines Schlüssels gewährleistet ist, der für jedes 
Zeichen des Klartexts ein Schlüsselzeichen bereitstellt — eine extreme 
Forderung, die unter praktischen Gesichtspunkten oft nicht erfüllbar ist. 3 
Praktische Sicherheit, die nicht perfekt ist, ist nur durch den Zeitauf¬ 
wand, den das Brechen erfordert, gewährleistet. 

A.4.4 Shannon diskutiert eine weitere Eigenschaft einer Chiffrierung; er 
nennt eine Chiffrierung ideal ( e strongly ideal’), wenn Geheimtext und 
Schlüssel gegenseitig unabhängig sind: 

I(K, C) = 0 . 

Dies ist äquivalent zu H(K) = Hc{K) und zu H(C) = Hk(C) . 

Nach Shannon haben ideale Chiffrierungen praktische Nachteile: Damit eine 
ideale Chiffrierung auch perfekt ist, muß H(K) — H(P) sein. Ideale Chif¬ 
frierungen müssen also genau der Klartextsprache, also meistens einer natür¬ 
lichen Sprache, angepaßt werden. Dies erfordert ziemlich komplizierte Chif¬ 
friermechanismen bzw. Schlüsselerzeuger. Auch ist bei Ubertragungsfehlern 
ein Lawineneffekt unvermeidlich. Es handelt sich also um ein praktisch un¬ 
erreichbares Ideal. 

3 Perfekte Sicherheit verlangt also mit H(P) < H(K ), daß im Modell der Schlüssel min¬ 
destens so viele Zeichen enthält als der Klartext, daß also auch jede Beschreibung des 
Schlüssels mindestens so lang ist wie der Schlüsssel — vgl. Chaitins Forderung, 8.6.2. 
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A.5 Unizitätslänge und Codekomprimierung 

Die Bedingung Hc{P ) > 0 besagt, daß über den Klartext bei bekanntem 
Geheimtext noch eine Unsicherheit herrscht. Für eine Shannonsche Chif¬ 
frierung mit individuellem Schlüssel (die aber nicht perfekt zu sein braucht) 
bedeutet das nach Satz 4 C 

H(K) > H(C) — H(P). 


A.5.1 Wir gehen nun zum stochastischen Modell über, mit Klartextwörtern 
U* und Geheimtextwörtern VF* über einem Zeichenvorrat V — W von N 
Zeichen. Ferner beschränken wir uns auf Wörter der Länge k . 

Wir nehmen (Hellman 1975) an, daß Np und Nc Zahlen sind derart, daß 
unter den N k Wörtern der Länge k die Anzahl der sinnvollen, d.h. vor¬ 
kommenden Klartexte gerade ( Np) k und die Anzahl der vorkommenden 
Geheimtexte gerade ( Nc) k beträgt. Es ist dann Np < N und Nc < N . 
Wenn alle diese Texte gleich häufig Vorkommen, ist im stochastischen Modell 

H(P) = h-\dN P , H(C) = k-\dN c . 

Des weiteren sei, wie in Kap. 12, Z die Mächtigkeit der Verfahrensklasse, 
also die Anzahl der Schlüsselwörter. All diese Schlüsselwörter sollen gleich 
häufig Vorkommen. Dann ist 


H(K) = ldZ . 

Die Ungleichung oben wird 


ldZ>k-(ldN c -ldN P ) 


oder, falls ldN c >ldN P 

k < U, wo U — 


1 


•IdZ . 


IdNc-ldNp 

Falls also, wie oben angenommen, eine Unsicherheit herrscht, ist k < U ; 
ist somit k > U , so herrscht keine Unsicherheit. U ist also (vgl. 12.6) die 
Unizitätslänge. 


Ist Nc maximal, Nc = N , kommen also alle möglichen Geheimtexte auch 
gleich häufig vor, so ist sicher die Bedingung ld Nc > ld Np erfüllt. Die 
Unizitätslänge beträgt dann, falls wie üblich Np < N , 


U = 


1 

IdN-ldNp 


•IdZ . 


und wird somit durch den Wert von Np für die Klartextwörter bestimmt. 
Dieser hängt aber von der im kryptanalytischen Verfahren vorgenommenen 
Analyse ab. Werden zur Analyse lediglich Einzelzeichenhäufigkeiten heran¬ 
gezogen, so ist auch Np = Np ^ bezüglich der Einzelzeichenhäufigkeiten zu 
betrachten; die Werte für ld Np ^ unterscheiden sich im Deutschen und im 
Englischen nicht sehr und betragen für die in 15.5 betrachtete Textbasis SZ3 
ldA^ « 4.07 [bit], für die Auszählung Meyer-Matyas ldVp 1 ^ « 4.17 [bit], 
wobei N = 26 und ld N = ld 26 « 4.70 [bit]. 



472 Anhang: Perfekte Sicherheit und praktische Sicherheit 

Wenn wir also den mittleren Wert ldiVp^ ^4.1 [bit] wählen und wenn wir 
weiterhin mit ld Np^ « 3.5 [bit] für Bigrammhäufigkeiten, ld Np^ « 3.2 [bit] 
für Trigrammhäufigkeiten rechnen, so ergeben sich die Unizitätslängen 

(1) [/ ^ q ^6 IdZ für Entzifferung mittels Einzelzeichenhäufigkeiten, 

(2) U ~ rp^ ld Z für Entzifferung mittels Bigrammhäufigkeiten, 

(3) U ~ ld Z für Entzifferung mittels Trigrammhäufigkeiten. 

Für Klartextwörter beträgt die mittlere Länge etwa 4.5 und die zugehörige 
Shannon-Entropie etwa ld Np 3 ^ « 2.6 [bit] , damit 

(w) U ~ 2 ~l ld % für Entzifferung mittels Worthäufigkeiten 

Die Shannon-Entropie der englischen wie auch der deutschen Sprache unter 
Heranziehung aller, auch grammatikalischer und semantischer Nebenbedin¬ 
gungen ist noch erheblich kleiner, man rechnet mit einem ungefähren Wert 
von ldiVp) ^1.2 [bit] und gewinnt damit die Unizitätslänge 
(*) U ~ 3 ^ IdZ für Freistil-Entzifferung, 

die auch in 12.6 angegeben ist. 

Für einfache Substitution ist (12.1.1.1) Z = 26!, \dZ = 88.38 und es erge¬ 
ben sich für die Unizitätslänge die Werte 147, 74, 59, 42, 25, die durch 
die Erfahrung gut bestätigt werden. Die Situation ist für die englische, 
französische, deutsche, italienische, russische und verwandte indoeuropäische 
Sprachen ziemlich die gleiche. 

A.5.2 Obschon Shannon durch seine Beschäftigung mit kryptologischen Fra¬ 
gen während des 2 . Weltkriegs zu seiner Informationstheorie geführt wurde, 
hat diese in der dem Kommunikationstechniker geläufigen und ihn interes¬ 
sierenden Form keine kryptologischen Aspekte. Ihre praktische Bedeutung 
liegt hauptsächlich in der Steigerung der Ubertragungsrate durch geeignete 
Codierung, bis hin zu einem Grenzwert, der nicht überschritten werden kann 
und der sich auf eine Nachricht P ohne jede Redundanz bezieht — also eine 
Nachricht P von k Zeichen mit der maximalen Unsicherheit H(P) = kAdN. 

Die obigen kryptologischen Ergebnisse lassen sich unmittelbar übertragen: 
Gewöhnliche natürliche Sprache ist redundant; ein Code für das einzelne 
Alphabetzeichen von Z 26 läßt sich im Falle der englischen Sprache theore¬ 
tisch reduzieren zu einer Codierung, die im Mittel ungefähr 1.20 [bit/char] 
erfordert — also etwa ein Viertel der Schranke von ld26 = 4.70 [bit/char]. 
Allerdings ist die Annäherung an diesen theoretischen Wert nur mit eini¬ 
gem Schaltaufwand erzielbar. Eine Huffman-Codierung der Einzelzeichen, 
die Binärwörter verschiedener, optimal gewählter Länge unter Beachtung der 
Rekonstruierbarkeit der Zeichenfuge benutzt — je seltener das Einzelzeichen, 
desto länger das Binärwort — reduziert die Ubertragungsrate nur auf etwa 
4.1 [ bit/char ] . Huffman-Codierung für m -gramme approximiert, wie oben 
gesehen, mit wachsendem m den Grenzwert nur langsam: 3.5 [bit/char] für 
Bigramme, 3.2 [bit/char] für Trigramme. In der Tat ist die bei gewöhnlichen 
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Sprachtexten erzielbare Komprimierung der Nachricht ohnehin nicht so groß, 
um besondere Aufwendungen zu rechtfertigen. Huffman-Tetragramm-Codie- 
rung sollte jedoch mit Hilfe spezieller Chips wirtschaftlich durchführbar sein. 

Anders ist es bei Sprachübertragung und noch mehr so bei Bildübertragung, 
wo die erzielbare Komprimierung beträchtlich ist. Für diese Anwendungen 
kommt also der Binsenweisheit der Nach-Shannonschen Kryptologie „ Code- 
Komprimierung des Klartextes ist ein nützlicher Schritt zur Verbesserung der 
praktischen Sicherheit einer Chiffrierung besondere Bedeutung zu. 

A.6 Unmöglichkeit einer konstruktiven 
vollständigen Unordnung 

Als in den zwanziger Jahren der Gebrauch individueller Schlüssel empfohlen 
wurde, schien ihre Herstellung kein besonderes Problem zu sein. Daß ein 
individueller Schlüssel eine Zufallsfolge einzelner Schlüsselzeichen sein sollte, 
leuchtete unmittelbar ein. Nach den Arbeiten von Shannon und insbesondere 
von Chaitin 1974 mußte man aber alle Versuche, eine echte Zufallsfolge algo¬ 
rithmisch zu fabrizieren, aufgeben; wenn man Algorithmen einsetzen wollte, 
mußte man auf echte Zufallsfolgen verzichten. 

Im übrigen waren gerade ,Pseudozufallsfolgen‘ mit langer Periode verdächtig, 
innere Gesetzmäßigkeiten zu haben, die kryptanalytischen Nutzen bringen 
könnten — wenn auch konkrete Beispiele fehlten und bis heute fehlen. Mehr 
und mehr mußten jedenfalls die für die Sicherheit der eigenen Kryptosysteme 
verantwortlichen Kryptologen Kopfschmerzen hinnehmen, während die ei¬ 
gentlichen Codebrecher sich in der Hoffnung auf unerwartete Einbrüche wie¬ 
gen konnten. 

Etwa um diese Zeit begann auch in der Mathematik eine einschlägige Ent¬ 
wicklung. So schrieben H. Burkill und L. Mirsky 1973 

u There are numerous theorems in mathematics which assert, crudely 
speaking, that every System of a certain dass possesses a large Subsy¬ 
stem with a higher degree of Organization than the original System 

Beispiele sind 

(1) „Jeder Graph von n Knoten enthält entweder einen großen Teilgraph 
von k Knoten, der zusammenhängend ist, oder einen großen Teilgraph von k 
Knoten, der unzusammenhängend ist.“ 

(Ramsey-Zahl, z.B. k = 6 für n = 102, F. P. Ramsey 1930) 

(2) „Jede beschränkte unendliche Folge komplexer Zahlen enthält eine kon¬ 
vergente unendliche Teilfolge.“ (K. Weierstraß 1865) 

(3) „Wenn man die natürlichen Zahlen in zwei Klassen teilt, enthält minde¬ 
stens eine eine beliebig lange arithmetische Reihe.“ 

(Issai Schur um 1925, B. L. van der Waerden 1927) 
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(4) „Jede partielle Ordnung von n 2 + 1 Elementen enthält entweder eine 
Kette der Länge n + 1 oder eine Menge von n + 1 nicht vergleichbaren Ele¬ 
menten.“ (R. P. Dilworth 1950) 

(5) „Jede Folge von n 2 + 1 natürlichen Zahlen enthält entweder eine aufstei¬ 
gend monotone oder eine absteigend monotone Teilfolge der Länge n + 1 .“ 
(P. Erdös, G. Szekeres 1950) 

Zwischen diesen und einigen anderen Beispielen schien zunächst kein Zu¬ 
sammenhang zu herrschen; besser gesagt, es wurde keiner bemerkt. Erst 
P. Erdös begann um 1950 mit einer Zusammenschau und gab ein allgemei¬ 
nes Theorem an, aus dem viele einzelne Ergebnisse durch Spezialisierung 
erhältlich waren. Unter dem Namen 1 Ramsey Theory’ hat dies seit etwa 
1970 zu vielen scharfsinnigen mathematischen Arbeiten über unordentliche 
Systeme mit ordentlichen Subsystemen geführt, beispielsweise 1975 zu einer 
Arbeit von E. Szemeredi mit dem Titel ‘On sets of integers containing no k in 
arithmetic progression’ . Die prinzipielle Unmöglichkeit einer konstruktiven 
vollständigen Unordnung muß aber als eine Mahnung an die Kryptologie ver¬ 
standen werden, beim Gebrauch von Pseudozufallsfolgen überaus vorsichtig 
zu sein — eine derzeit lediglich theoretische, aber nichtsdestoweniger ernst¬ 
zunehmende und untersuchenswerte Warnung. 

Marian Rejewski , polnischer Held der Entzifferung, drückte es 1978 (unter 
der stillschweigenden Voraussetzung der Konstruktivität) so aus: 

“Whenever there is arbitrariness, there is also a certain regularity.” 



B Anhang: Kryptologische Geräte 
und Maschinen 

im Deutschen Museum München 

(Auszug aus dem Führer durch die Ausstellung „Informatik“, Abschnitt 5.1 
Texte: Joachim Fischer) 

1 Chiffrierstäbchen in Holzschatulle 1473 

Satz mit 143 Stäbchen 

Herkunft unbekannt; wohl 17. Jh. 

Stifter: Mathematisch-Physikalische Sammlung des Staates Bayern 
Mit Hilfe dieser Chiffrierstäbchen konnten polyalphabetische Chiffren „ge¬ 
legt“ werden. Ein Satz enthält 143 Stäbchen, jedes Stäbchen ist auf zwei 
Seiten beschriftet. 

2 Chiffrierstäbchen in Holzschatulle 1474 

Satz mit 143 Stäbchen 

Herkunft unbekannt; wohl 17. Jh. 

Stifter: Mathematisch-Physikalische Sammlung des Staates Bayern 

3 Chiffrierscheibe L 32/87; 1 

Messing, zum Teil versilbert; 18./19. Jh. 

Stifter: Bayerisches Nationalmuseum, München (Leihgabe) 

Die Chiffrierscheibe enthält neben den Alphabetzeichen auch häufig vor¬ 
kommende Zeichengruppen des (deutschen) Klartextes, die Chiffren sind 
zweistellige Zahlen. Die Scheibe wurde vermutlich im diplomatischen 
Dienst in der ersten Hälfte des 19. Jh. gebraucht. 

4 Chiffrierscheibe L 32/87;2 

Messing, zum Teil versilbert; 18./19. Jh. 

Stifter: Bayerisches Nationalmuseum, München (Leihgabe) 

5 Reglette St-Cyr 88/132 

(Nachbildung, 1987) 

Schieber dieser Bauart waren im 19. Jh. in Gebrauch. 

6 Polyalphabetisches Chiffriergerät 1994/99 

Gerät in Uhrenform 

Charles Wheatstone; nach 1867 

Polyalphabetisches Chiffriergerät mit progressivem Schlüssel, der durch au¬ 
tomatisches gegenseitiges Verdrehen der beiden Scheiben erzielt wird. Auf 
der Pariser Weltausstellung 1867 erstmals gezeigt. 

7 Chiffriergerät mit mehreren Schiebern 87/736 

(Nachbau, 1987) 

Original im Besitz der Crypto AG, Zug 
südamerikanisch; um 1920 

Chiffriergerät in Schieberform, mit 7 verschiedenen Schiebern. 

8 Chiffriergerät M-94 der U.S.Army 88/35 

Chiffriergerät in zylindrischer Form, 25 gravierte Aluminiumscheiben von 
35 mm Durchmesser. Die M-94 geht auf die Vorbilder von Jefferson und 
Bazeries zurück. Sie wurde 1922 unter dem Einfluß von Friedman für den 
Truppendienst eingeführt und war bis etwa 1942 in der amerikanischen Ar¬ 
mee weithin in Gebrauch. 
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9 Chiffriermaschine „Kryha“ 62797 

A. v. Kryha, Berlin-Charlottenburg; um 1926 

Stifter: Ä. v. Kryha, Berlin-Charlottenburg 

Polyalphabetische Chiffriermaschine mit festem periodischen Schlüssel der 
Länge 442. Unregelmäßige Fortschaltung der Chiffratscheibe durch Rad 
mit wechselnder Zähnezahl. Trotz ihrer kryptologischen Mängel wurde die 
Maschine in viele Länder verkauft. 

10 Chiffrier-Zusatzgerät (Lochstreifenleser) 87/1 

Siemens & Halske T send 77 f 

(als Zusatz zum Fernschreiber T 100 oder T 37 i) 

Siemens & Halske, Wernerwerk München; 1964 

Aus einem Lochstreifen mit Klartext und einem weiteren Lochstreifen, auf 
dem sich der fortlaufende Schlüssel befindet, wird ein dritter Lochstreifen 
erzeugt, der die Chiffre enthält. Zur Dechiffrierung wird auf die umgekehrte 
Weise aus der Chiffre und dem Schlüssel der Klartext hergestellt. 

11 Chiffrierfernschreibmaschine 84/337; 1-2 

Siemens & Halske SFM T 52 e, Nr. 53260 

Siemens & Halske, Wernerwerk Berlin, 1944 
Stifter: Siemens AG, München 

Chiffriermaschine für Fernschreibzeichen, im Jargon „Geheimschreiber“, bri¬ 
tischer Deckname STURGEON. Erfinder: Ehrhard Roßberg, August Jipp 
und Eberhard Hettler. Deutsches Patent Nr. 615016, angemeldet am 18. Juli 
1930. Durch zehn Stiftwalzen mit 73-,71-,69-,67-,65-,64-,61-,59-,53-,47-Tei- 
lung und unregelmäßig verteilten Stiften wird ein Schlüssel mit einer Peri¬ 
ode von knapp 10 hoch 18 erzeugt. Fünf der Stiftwalzen steuern Vernam- 
Substitutionen des 5-Bit-Codes; die restlichen fünf bewirken Transpositio¬ 
nen der fünf Bits. Die Verteilung der Walzen auf diese Funktionen kann 
durch eine Stecktafel ausgewählt werden. 

12 Chiffrierfernschreibmaschine 1988/81019 

Schlüsselzusatz Lorenz SZ 42 

C. Lorenz AG, Berlin, um 1943 

Stifter: Standard Elektrik Lorenz AG, Stuttgart 

Chiffriermaschine für Fernschreibzeichen, Britischer Deckname TUNNY. 
Einsatzfeld: Heer-Armeehauptquartiere. 

Durch zwölf Walzen mit 43-,47-,51-,53-,59-,37-,61-,41-,31-,29-,26-,23-Teilung 
und unregelmäßig verteilten Stiften wird ein Schlüssel mit hoher Periode er¬ 
zeugt. Fünf Walzenpaare steuern Vernam-Substitutionen des 5-Bit-Codes; 
zwei Walzen dienen lediglich der unregelmäßigen Fortschaltung. 

Die Chiffrierung der SZ 42 wurde von den Briten unter Einsatz der elektro¬ 
nischen COLOSSUS-Anlagen gebrochen. 

13 Rotor-Chiffriermaschine 1993/522; 1-2 

Enigma, 3-Walzen-Ausführung, Holzgehäuse, 

Nr. A 2178 K ; um 1938 

Rotor-Chiffriermaschine mit Steckerfeld und Glühlampen-Anzeige, Einsatz¬ 
feld Heer („Wehrmacht-Enigma“). Umkehrwalze B, Walzen I (A 4200), 
II (A 102218), III (A 13947) in der Maschine, IV (A 7370), V (A 7692) im 
Zubehör kästen (eingestempelt „1939“). 

14 Rotor-Chiffriermaschine 87/104 

Enigma, 3-Walzen-Ausführung, Metallgehäuse, 

Nr. A 02196/bac/44E ; 1944 

Stifter: Siemens AG, Siemens Museum, München 

Rotor-Chiffriermaschine mit Steckerfeld und Glühlampen-Anzeige, Einsatz¬ 
feld Heer/Luftwaffe („Wehrmacht-Enigma“). Neben der Umkehrwalze B 
sind nur die drei im Gerät befindlichen Walzen I, II, III (von ingesamt fünf), 
gestempelt A 02196/44E , vorhanden. 
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15 Rotor-Chiffriermaschine 84/584; 1-3 

Enigma, 4-Rotoren-Ausführung, Metallgehäuse mit Abdeckhaube, 

Nr. M 7972/jla/44; 1944 

Rotor-Chiffriermaschine mit Glühlampenanzeige, Ausführung für die Ma¬ 
rine. Dünne Umkehrwalze und insgesamt zehn Rotoren. Drei der vier Ro¬ 
toren in der Maschine konnten aus den acht Rotoren I bis VIII ausgewählt 
werden, die vierte (ganz links) aus den sogenannten „Griechenwalzen“ ß 
und 7 . Im Zubehörkasten eingestempelt „Kommando der Marine-Station 
der Ostsee - Druckschriftenverwaltung“. 

16 Chiffriermaschine 73800 

Hagelin Cryptographer C-36, Nr. 702 

Aktiebolaget Cryptoteknik, Stockholm, 1936 
Stifter: Boris Hagelin, Zug 

Bei allen C-Typen von Hagelin basiert die Chiffrierung auf der Verwendung 
von Schlüsselrädern unterschiedlicher Teilung. Im Gegensatz zu späteren 
Ausführungen sind bei der vorliegenden Maschine jedoch nur fünf Schlüssel¬ 
räder mit 17-, 19-, 21-, 23- und 25-Teilung vorhanden, was eine Periodenlän¬ 
ge („Schlüssellänge“) von nur 3900225 ergibt. Für rein mechanisch arbei¬ 
tende Maschinen bedeutete dies jedoch eine Pionierleistung. 

17 Chiffriermaschine 87/180 

Hagelin-Crypto CX-52, Serie D, Nr. 33244 

Crypto AG, Zug; ab 1952 
Stifter: Crypto AG, Zug 

Chiffriermechanismus mit 6 Schlüsselrädern, deren Umfang jeweils verschie¬ 
den geteilt ist; insgesamt steht ein Satz von 12 Rädern mit 25-, 26-, 29-, 
31-, 34-, 37-, 38-, 41-, 42-, 43-, 46- und 47-Teilung zur Verfügung, von denen 
6 ausgewählt werden können. Da (vom Faktor 2 abgesehen) die Teilungszah¬ 
len keinen gemeinsamen Teiler besitzen, ist die Periodenlänge sehr groß. 
Durch Zusatzgeräte zu diesem rein mechanischen Gerät ist die Bedienung 
als „elektrische Schreibmaschine“ möglich. 

18 Taschenchiffriermaschine 87/42 

Hagelin-Crypto CD-57, Nr. 3004061 

Crypto AG, Zug; ab 1957 
Stifter: Crypto AG, Zug 

Chiffriergerät, das aufgrund seiner handlichen Größe vielfältigen Einsatz 
erlaubte; die Chiffrierung erfolgt wie bei der schweren Ausführung CX-52 
mittels Schlüsselrädern verschiedener Teilung. 

19 Chiffriergerät mit Zusatz-Lochstreifengerät 87/181; 1-2 

Hagelin-Crypto Type H-4605-3/X, Nr. 4.000.815 (Rotorgerät); 
Hagelin-Cryptos Type PEH-72 antr. 2022a-2, Nr. 3.520.261 000000(Leser) 
Crypto AG, Zug; hergestellt von 1963 bis 1965 

Stifter: Crypto AG, Zug 

Die Maschinen der „H-X“-Reihe sind autonome, elektrisch angetriebene 
9-Rotor-Chiffriermaschinen für linienunabhängigen (‘off-line’) Lochstreifen¬ 
betrieb. Nach Eingabe eines Grundschlüssels von 25 Buchstaben ist das Ge¬ 
rät „voreingestellt“; die Grundschlüsselinformation bleibt gespeichert. Jede 
Nachricht, die chiffriert werden soll, benötigt darüber hinaus die Eingabe 
eines weiteren, 5 Buchstaben umfassenden sogenannten Spruchschlüssels. 
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VII, 159, 215, 226, 271, 291, 298, 338, 
341, 399, 447, 451, 452 
-, Maxime von 291 
Huyghens, Christiaan 104 
,Hydra 4 , DOLPHIN (Schlüsselnetz) 426 
‘Hypothetical Machine’ (HYPO) 342 

International Business Machines (IBM) 
41, 338, 435 
ICKY 348 
IDEA 188 
ideal 470 
Identifikation 195 
Identität 137 
Ideogramm 71 
idiomorph, 253, 254 


‘Index Calculus’ 199, 200 
index of coincidence 144, 323, 341 
INDIGO 114, 288 

Indikator, indicator 63, 126, 133-134, 
160, 163, 389, 390, 396, 411, 418 
Indikatorverdopplung 63, 411-412, 419, 
423-424, 457, 459 
individuell 468 

individueller Schlüssel 156-159, 160, 
163, 189, 218, 227, 229, 401, 460, 
468-470, 471, 473 
inßuence letter 156, 166, 394 
in formal ciphers 311 
,Informatik 4 (Deutsches Museum) VIII 
Information, gegenseitige 465, 468, 470 
Informationstheorie VII, 248, 332, 463 
-, axiomatische 464 
inhomogene lineare Substitution 85, 92 
injektiv (,linkseindeutig 4 ) 34, 35, 39, 43 
Inman, Bobby Ray 33 
Institute for Defense Analyses (IDA) 33 
International TrafRc in Arms Regula- 
tions (ITAR) 7, 229 
Invarianzsätze 253, 292, 293, 295, 307, 
325, 328, 331 
inverse alphabet 49 
Involution, Involutorische Substitution 
45, 48-49, 50, 53, 61, 63-64, 69, 84- 
88, 108, 114, 115, 123, 124, 126, 137, 
155, 166, 168, 183-184, 190, 271 
Involutorische lineare Substitution, In¬ 
volutorische Matrix 84, 86, 87 
irrationale Zahlen 37, 152, 158 
ISBN (Code) 78 
isolog 225 
isomorph 44, 399 
Isomorphie-Methode 284-290 
isopsephon 39 

Iterations-Angriff 170-174, 204-206 
i-Wurm 156 

Jäckel, Eberhard 448, 478 
JADE 150 

Jäger, Leutnant 70, 213, 261 
Jargon, Jargon code 15 
Javanais 22 

Jefferson, Thomas 51, 73, 127, 128, 223, 
225. 244, 252 
Jeffreys, John 421, 423 
Jeffreys sheets 421, 424 
Jensen, Willi VII, 297, 338-341, 347- 
348, 399, 441 
je suis indechiffrable 30 
Jipp, August 165, 388 
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JN-25A, JN-25B (Code) 78 
JN-157 (Code) 434 
Johnson, Brian 6, 117, 388, 390, 392, 
447, 479 

Johnson, Esther 23 
Josse, Henri 480 
Joyce, James 39, 260 
Julius Caesar 51 
‘Jumbo’, 424 

Kaeding, F. W. 297, 298, 306 
Kahn, David V, 6, 10, 27, 68, 70, 72, 82, 
96, 112, 117, 123, 125, 135, 136, 138, 
139, 142, 150, 157, 222, 223, 258, 282, 
291, 297, 312, 313, 321, 323, 333, 338, 

343, 345, 346, 353, 371, 396, 398, 399, 

444, 449, 451, 453, 454, 455, 478, 479 
Käma-sütra 48 

Kapitälchen, Verwendung von 42, 48 
Kaplanski, N. 132 

Kappa 236, 323-330, 333-342, 343, 345, 
347, 349, 351, 391, 396, 424 
Kappa -Test 334, 336 
Kappa - Chi -Theorem 329 
Kappa -Phi -Theorem 330, 351-352 
Kappa -Phi^ - Theorem 349 
Karl der Große 47 

Kasiski, Friedrich W. 224, 248, 297, 343, 

344, 346, 379, 480 

Kasiski-Untersuchung 343-348, 352, 362, 
368, 371, 379, 396 
Kätscher (Code) 77 
Kaufmanns-Chiffre 30, 47 
Keen, Harold (‘Doc’) 423 
Kenngröße 310, 312 
Kenngruppe 117, 169, 212, 396, 424 
Kennsatz,-wort, -zahl 47, 49, 52-59, 
61, 65, 66, 68, 96, 99, 103, 109, 125, 
135, 138, 189, 195, 211, 257, 316, 317, 
367, 370, 376-377, 409-410, 437, 440 
-, Rekonstruktion des -es 376-377, 
408-410 

Kepler, Johannes 104 
Kerckhoffs, Auguste 100, 123, 169, 209, 
223-224, 244, 254, 291, 298, 344, 361, 
368-372, 378-380, 382, 417, 420, 444, 

445, 458, 480 

-, Maxime von VIII, 169, 211, 223, 
244, 291, 417, 458 
Kesselring, Albert 393, 394 
key phrase cipher 47 
Kindl 292 
Kinsey, Alfred C. 9 
Kircher, Athanasius 9, 78 


Kirchhofer, Kirk H. VIII, 3 
kiss 400 

Klar, Christian 9 
Klartext, -Vokabular 34, 42 
Klartextfunktion 156, 166, 395 
Klartext-Geheimtext-Kompromittie- 
rung 208, 212-213, 225, 291, 378, 417, 
424, 426, 456-457 

Klartext-Klartext-Kompromittierung 
378-379, 388, 395, 399-401, 444, 456 
,Klasse‘ (Rohrbach) 282 
Klassifizierung der Kryptologie 25, 26 
Kleinbuchstaben 40, 42, 48, 54 
Klopf-Code 55 

KL-7 ADONIS (Maschine) 144, 145 
Klüber, J. L. 480 
Known-plaintext attack 457 
Knox, Alfred Dillwyn (‘Dilly’) 94, 143, 
284, 412, 421, 449, 455 
Koblitz, Neil 200 
Koch, Hugo Alexander 113 
Koch, Ignaz Baron de 72 
Koehl, Alexis 69, 175 
Köthe, Gottfried 3 
Kolmogorov, Andrei Nikolaevich 157, 
160 

Kolonne 348, 353, 374, 378 
kombinatorische Komplexität 43, 66, 
134, 135, 154, 165, 210, 238, 239-245 
-, polynomiale 194 
-, subexponentielle 196, 199, 200 
Komet (Schiff) 220 
Komplementäres Alphabet 92 
Komposition von Verfahren 164 
Kompromittierung 212, 225, 378 
Kongruenzwurzel, primitive 198 
Konheim, Alan G. V, 272, 297, 480 
Konjugierter Chiffrierschritt 69, 175 
Konfusion 170 
Kontakt 314, 445 
Kontaktrealisierung 112 
Korn, Willi 113, 142-143, 417 
Köthe, Gottfried 3 
Kowalewskaya, Sonja 218 
Kowalewski, Jan 145 
Kozaczuk, Wladyslaw 411, 413, 479 
Kraitchik, M. 196 
Krause, Reinhard VIII 
Kratzer, Uwe 262 
Krebs 23, 95, 106 
Krebs (Boot) 219 
kreischen 285, 290, 434 
Kriminalistik 4-5, 55, 257 
Krivitsky, Walter [Samuel Ginsburg] 223 
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Krohn (Code) 76 
Krug, Hansgeorg 280, 398 
Kruh, Louis 117, 118, 220, 268, 424, 427, 
430, 479 

KRU, KRUS, KRUSA, KRUSÄ 28, 80 
Kryha, Alexander von 140, 148, 476, 
Farbtafel F 

Kryptanalyse VI, VIII, 8, 34, 235, 461 
-, reine 267, 312, 316, 342, 391, 455, 463 
Kryptographie VIII, 1, 8, 9, 25-26, 27- 
33, 34 

Kryptologie V, VI, VIII, 2, 25-26, 34 
Kryptosekretär 210, 217, 225, 254, 311, 
447, 448 

Kryptosystem 7, 78, 150, 159, 162-163, 
188-189, 228, 233, 236, 448, 459, 473 
Kulissenverfahren 69, 176 
Kullback, Solomon 89, 145, 148, 168, 
252, 303, 309, 325, 326, 330, 337, 338, 
342, 343, 348, 352, 424, 449, 479, 480 
Kullback-Entropie 332, 463 
Kullback-Untersuchung 342, 346, 351, 
353, 354, 362 

Kulp, G. W. 334, 335, 339, 348, 351, 
352, 354, 355, 357, 358, 372 
Kunze, Werner 89, 148, 156, 282, 399 
Küpfmüller, Karl 215, 297 
Kürzel 34 

Kurzsignalheft 74, 219 
KW-7 (Maschine) 454 
Kyrillisches Alphabet 41, 59 

Labyrinth 13 
Lage, mögliche 270-280 
Lange, Andre 42, 298, 302, 480 
Langer, Gwido (‘Luc’) 411, 421 
Langie, Andre 9, 319, 480 
Langlotz, Erich 156, 159, 398 
Largondu, Largonjem, Largonji 23 
LARRABEE 121, 126, 156, 
lateinisches Quadrat 130-132, 280 
Latte 374-375, 378, 397-398, 401-402 
Lauenburg (Schiff) 219 
‘Law Enforcement Acess Field’ (LEAF) 
231 

Lawineneffekt 174, 181, 184, 226 
L.C.S. 32, 447 
Legendre, Adrien-Marie 201 
Leiberich, Otto 150, 447 
Leibniz, Gottfried Wilhelm von 41, 72- 
73, 104 

Lemoine, Rodolphe [Stallmann, Rudolf] 
CRex’) 412 

Lenstra, Hendrick W. 200 


Leotard, Frangois 213 
Letchworth 431 
Leutbecher, Armin 199 
Lever, Mavis 457 
Levine, Isaac Don 222 
Levine, Jack 69, 266 
Lewin, Ronald 254 
Lewinski, Richard (pseudonym) 94 
Lewis Carroll [Charles Lutwidge Dodg- 
son] 123, 175, 403 
Lieber (Code) 77 
Lindenfels, J. B. 480 
Lindenmayer, Aristide 153 
Lineal 53-54, 108, 126, 129-130, 275- 
276, 279, 291, 359 

Lineare Substitution 82-83, 88-92, 93 
Lineares Schieberegister 151, 438-440 
,linkseindeutig‘ 34 
LINOTYPE 298 
Lipogramm 258-260, 296 
Lisicki, Tadeusz 419 
literary English 303 
lobster (Knox) 143 
Lochkartenanlagen 281-282, 338, 375 
Logarithmusfunktion, diskrete 199 
logic switching panel 392 
Lombard (Code) 77 
London Controlling Section (L.C.S.) 32, 
447 

longeur de seriation 175 
Lonsdale, Gordon [Konon Molody] 10 
Lorenz, Mr. 159, 388 
LORENZ Schlüsselzusatz SZ40/42 156, 
166, 375, 388, 394, 401, 460, 476 
Los Alamos 56-57 
Losung 52 
Louis (Code) 77 
Loyd, Sam 96 
‘Luc’ 411 
Lucan, Henno 221 
LUCIFER 180-181, 185 
Ludendorff, Erich 55, 168, 217 
Ludwig XIV, König von Frankreich 72 
Ludwig XV, König von Frankreich 17 
Ludwig II, König von Bayern 104 

M-94 = CSP 488 80, 129, 132, 280, 

Farbtafel D 

M-134-A (SIGMYC) 117, 159 
M-134-C = CSP 889 (SIGABA) 

= ECM Mark II 117, 144, 221, 458 
M-134-T2 117 

M-138-A = CSP 845 129, 213, 221, 

223, 280, 291 
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M-138-T4, 129, Farbtafel E 
M-209 = CSP 1500= C 38 81, 141, 

218, 224, 382, 417, 452, Farbtafel H 
M-228 (SIGCUM), 159 
M-325 (SIGFOY), 145 
Macbeth, James C. H. 78 
MacLean, Donald Duart 159 
Mächtigkeit einer Klasse 37, 238 
Mackensens Telegramm 400 
MacPhail, Malcolm 94 
MADAME X (X-68003) 431, 432 
Madison, James 73 
Maertens, Eberhard 219, 222 
Magdeburg (Kreuzer) 74 
MAGIC 150 
Makarov, Victor 454 
Malik, Rex 394 
Mamert-Gallian (Code) 77 
Mandelbrot, Benoit 304 
Mann, Paul August VII 
Mantua , Herzog von 47 
Marconi (Code) 78, 79 
Marie Antoinette 29, 138 
Marinenachrichtendienst 219 
Marks, Leo 102 
Maskierung 14, 26 
Massey J. L. 188 
Matapän 457 
Matton, Pierre-Ernest 213 
Matyas, S. M. 237, 301, 303, 304, 461, 
471, 480 

Mauborgne, Joseph O. 89, 127, 129, 132, 
156, 448 

Maul, Michael 348 

McCurley, K. S. 200 

Mayer, Stefan 421 

MD5 188 

Meader, Ralph 435 

Meaker, O. Phelps 297 

Mechanisierung der Exhaustion 252 

Medical Greek 96 

Meister, Aloys 133, 480 

‘Memex’ 348 

Mencken, Henry Louis 325 
Mendelsohn, Charles J. 125 
Menü 426, 427, 428, 430, 431 
Menzies, Stewart Graham 3, 447 
,Mephisto-Polka ‘ 153 
Merchant Navy Code 65, 220, 450 
Mergenthaler, Ottmar 298 
Merkspruch 142, 298 
Merkwort, -vers 38, 39, 52, 103, 127, 
131, 164, 376 

Mersenne-Primzahl 152, 177 


message digest 5 (MD5) 188 
message setting 411 
Metapher 15 
methode des bätons 284 
‘metoda rusztu’ 417 
Meurling, Dr. Peer 58 
Meyer, C. H. 237, 301, 303, 304, 461, 
471, 480 

Meyer, Helmuth 18 
MI-8 33, 79 
Mi-544 (Lorenz) 199 
M.I.l(b) 32 
M.I.6 3, 32 
M.I.8 32 
Micali, Silvio 231 
microdot 10 

Michie, Donald 3, 341, 393 
MIKE 441 

Military Intelligence Code No. 5, No. 9 
79 

Miller, V.S. 200 
Millikin, Donald D. 478 
Milner-Barry, Stuart 94, 226 
Minocyclin 104 

Mirabeau, Honore Gabriel Riqueti Graf 
von 55, 175, 180 
Mirsky, L. 473 
Mitchel, William J. 77 
Mobilfunk 188 

Modulare Transformation 172-174 
Monnier, Sophie Marquise de 55, 175 
monoalphabetisch 36, 184 
monographisch siehe einfach 
Montgomery, P. 196 
Moorman, Frank 70, 217, 448 
Morehouse, Lyman F. 137, 156 
Moreo, Juan de 72 
Morikawa, Hideya 453 
Morris, Christopher 454 
Morse, Marston, 153 
Morsealphabet 41, 168, 176 
mot convenue 18 
mot probable 261 
mots vides 309 
“mozilla” 189 
Mullard EF 36 392 
Müller, Andre 480 
Müller, Hans-Kurt 280, 444 
multiplex, MULTIPLEX-Chiffrierschritt 
127, 130, 243-244, 280 
Multiplikation modulo N n 93-94 
Multiplikation, symbolische 176 
Multiplikation von Primzahlen 197 
München (Schiff) 219 
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Murphy, Robert D. 70, 215, 261, 281 
Murray, Donald 385 
Murray, Joan 422 
Muster 253 

- suche 256, 260, 266, 267, 304, 411 

- suche, gekoppelte 267 

- suche, negative 270, 273 
-, Normalform von -n 253 
Myer, Albert J. 345, 353, 480 
MYK-78 188 

Myszkowski, Emile V. T., 480 

Nabokov, Vladimir 259 
Napier, John Laird of Merchiston 41 
Napoleon Bonaparte 73, 226 
National Bureau of Standards (U.S.) 
180, 184 

National Defense Research Committee , 
342 

National Institute of Standards and Tech¬ 
nology (N.I.S.T.) 184, 186, 187, 209 
National Security Agency (N.S.A.) 133, 
163, 180, 186, 188, 223, 228, 231, 435 
NATO 144 

Naval Cipher Nr. 1 451 
Naval Cipher Nr. 2 („Köln“) 399, 450 
Naval Cipher Nr. 3 („Frankfurt“) 222, 
399, 450 

Naval Cipher Nr. 5 222, 450 

Naval Code 451 

Navy Code Box (NCB) 129 

Nebel, Fritz 168 

Neeb, Fritz 449 

need to know Doktrin 447, 457 

NEMA 117 

,Neptun‘ (Schlüsselnetz) 460 
Nero , römischer Kaiser 39 
Netscape Communicator 189 
Netzkoordinaten 42 
Newman, Maxwell Herman Alexander 
3, 391 

Newton, Isaac 104 
Niete 19, 36 
Niethe (Code) 77 
nicht schließlich periodisch 37 
Nihilistenchiffre (Transposition) 101, 
444 

Nilac (Code) 

Nivellierung (Häufigkeiten) 56, 61, 456 
NKWD 58 

no letter may represent itself 225, 270 
Nomenklator 71-72 
nonvaleur 19, 36 
Norris, William C. 435 


Noskwith, Rolf 3, 400 
Notschlüssel 102 
Novopaschenny, Dr. Fedor 448 
nulla zifra 56 
Null, null 19, 36, 80 
null cipher 19, 26 

null-null-drei (MADAME X) 431, 432 
‘Number Field Sieve’ (NSF) 196, 200 
Nuovo Cifrario Mengerini (Code) 77 
Nut 141-143, 425 

0-2 130, 280-282 

obere Schranke für Arbeitsaufwand 238 
Oberkommando der Wehrmacht (OKW) 
Abt. Chi 142, 271, 338, 347, 375, 399, 
429, 441, 447, 451, 460 
Oktogramm, binäres (Byte) 136 
octopartit 57 

öffentlicher Chiffrierschlüssel (public key) 
6, 31, 190, 209, 225, 237 
Office of Strategie Services (O.S.S.) 281, 
447 

OFFIZIER (Kenngruppe) 169 
Ohaver, M. E. 176, 346, 480 
O’Keenan, Charles 11, 175 
Olivary, Adolphe 446 
OLIVETTI 167 
OMALLEY 342 
OMI 117, 143 

one-timekey, pad, tape 156-159, Farb¬ 
tafel O 

open code 10, 13, 26 
open-letter cipher 19 
Operational Intelligence Center 32 
OP-20-G 33, 342, 348, 431, 432-434 
OP-20-GY 33, 342 
ORANGE (Maschine) 89, 148, 399 
ORANGE (Schlüsselnetz) 426 
ordnungserhaltend 73, 82 
O.S.S. 447 
OTP 156 

Ottico Meccanica Italiana 117 
P = NP 194 

Painvin, Georges-Jean 168, 280, 448 
PA-K2-Chiffre 102 
Palindrom 95-96 
Pangramm 268-269 
Panizzardi, Alessandro 213 
Pannwitz, Erika 280 
Parallelstellen (Koinzidenz) 267, 338- 
342, 343-348, 354 
-, unechte 345, 346, 347, 354 
Parkerism 459 
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Partition 293-294, 307 
Paschke, Adolf 398, 459, 460 
l Passport control officers ’ (PCO) 3 
Paßwort 195, 211 
Pastior, Oskar 95, 259 
Pastoure 9 
Patrick, J. N. H. 167 
Patronen-Geheimschrift 97 
P-box 183 
Pearl Harbour 19 
Pentagramm 37, 42, 57 
Pendergrass, James T. 434, 435 
penetrazione squadra , 214, 453 
Pepys, Samuel 9 
Per ec, Georges 259 
perfekt 468 

Periodenanalyse 333, 404 
Periodenlänge 133-134, 242-245, 351- 
352 

Perioden- und Phasensuchgerät 338- 
341, 347 

,Periode‘ einer Transposition 241 
periodisch 37, 333 
Permutation 48 
-, involutorische 48 
-, echt involutorische 49 
-, voll zyklische 50 
PERMUTE-Chiffrierschritt 125, 130, 
243-244, 245 

permutiertes Alphabet 51 
Pers Z 280, 398, 441, 447, 459-460 
Peter der Große, Zar 47 
PETER ROBINSON 341 
Peterson’s (Code) 77 
Pfeiffer, Herbert 95, 259 
Peterson’s (Code) 77 
PGP 188, 229 

phasenrichtig (Überlagerung) 378, 405 

Phi 330-331, 335 

Phi -Test 348 

Philby, Harold 159 

Philipp II. von Spanien 72 

Phillips, Cecil 159 

photoelektrische Abtastung 348, 375, 
376 

PHYTON 434 
Pig Latin 23 
pigpen cipher 47 
Piper, F. 479 

placode , plain code 374, 398 
‘Plaintext Bit 5 Two Steps Back’ 394 
Playfair, Lyon Baron of St. Andrews 
29, 66 


PLAYFAIR-Chiffrierschritt 28, 66-67, 
215, 226, 240, 249, 316, 318-319, 335 
Poe, Edgar Allan 5, 47, 319-321, 334- 
335, 343, 358 

Pokorny, Hermann 51, 260, 448 
Polares (Boot) 219 
Polheim, Christopher 56 
Pollard, John 196, 200 
POLLUX 176 

polyalphabetische Chiffrierung 36, 37, 
38, 89, 107, 133, 242-244, 270, 333 
Polybius- Quadrat 42, 55, 58, 113, 175 
polygraphische Chiffrierung 36-38, 60, 
240-241, 242, 260 

polyphon, Polyphone 38, 52, 75, 128, 
252, 256, 275, 437 
Pomerance, C. 196 
Poore, Ralph Spencer 187 
Porta, Giovanni Battista 40, 43, 46, 49, 
60, 125, 134, 135-136, 138, 154, 211, 
214, 216, 218, 223, 261, 283, 343 
PORTA-Chiffrierschritt 124, 270, 273 
Potenzierung, potenziertes Alphabet 51, 
54, 107, 377 

Potenzierung modulo q 176, 178-179, 
200 , 201 
‘ppmpqs’ 196 
Pratt, Fletcher 308, 480 
Pretty Good Privacy (PGP) 188, 229 
primary alphabet 108 
priming key 154, 156 
Primitivwurzel 198 
private key 192 

probable word 261, 279, 368, 424, 444 
progressive Chiffrierung 139, 140, 277 
progressive key 134, 154, 212 
Promber, Otto 95, 259 
Pseudonym 95 
Pseudoschlüssel 403 
Pseudozufallszahlen (-folgen) 157, 163, 
473 

Psi 327-328, 331, 332, 335 
Ptydepe 260 

public cryptography 6-8, 33, 208-210, 
237 

public key 192-194 
Punktieren 11 

pure cipher , pure cryptosystem 165 
pure cryptanalysis 218, 267, 312, 316, 
342, 391, 455, 463 

PURPLE 4, 149-150, 399, 453, 454, 459 
Pyry 421, 423 
PYTHON 342, 434 
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Qalqashandi 47 
‘Quadratic Sieve’ 196 
Quadrierung modulo q 201 
Quadratische Reste 201 
quasi-nichtperiodische Schlüssel 138- 
139, 151-152, 163, 437 
Quasiordnung, zyklische lineare 82 
quaternär 42 
‘quatsch’ 216 
quinär 42, 55 
Quick-Index 266 
Quine, Willard Van Orman 3 
quinpartit 57 
Quittung 18 

Rabin, M. O. 201 

Rail Fence- Transposition, 97 

Ramsey, Frank Plumpton 473, 474 

Randow, Thomas von VI 

Randeil, Brian VII, 479 

‘Rapid Analytical Machine’ (RAM) 342 

RAPID SELECTOR 348 

RATTLER 342, 434 

Raster 24, 26, 97-98, 435, 436 

rationale Zahlen 37, 158 

Rauscheffekte 158 

Rave, Cort 399, 449 

Raven, Frank 150 

RC2, RC4 187 

Rebus 71 

rechtseindeutig (funktional) 35 
Rechtsfaser 34 
reciphering 167 
reciprocal 48 
reciproque 48 
RED (Code) 78, 214 
RED (Maschine) 89, 148 
RED (Schlüsselnetz) 422, 425 
Redundanz 208, 248, 472 
Referenzalphabet 108, 353, 358, 359, 
361, 362, 366, 376, 382 
reglette ä chiffrer 54, 123, 475 
reguläre Matrix 84-86, 87 
Reichsbahn, Reichspost 115 
Reichling, Walter 18 
Rejewski, Marian 161, 411-414, 416- 
417, 419, 422, 425, 426, 454, 474 
Rekonstruktion - des Kennwortes 376, 
408-410 

- eines linearen Schieberegisters 438 

- eines durch lineare Iteration erzeugten 

Schlüssels 437 
Remmert, Reinhold 86 
Renyi, Alfred 331-332, 462 


Reny i- a -Entropie 331 
Reparto crittograßco 260 
Reserve-Handverfahren (,Notschlüssel‘) 

102 

‘residue classek 374 
Restklassen 82 

Revertiertes Alphabet 49, 92, 123 
‘Rex’ siehe Lemoine 
reziproke Paare 92 

Ribbentrop, Joachim von 33, 399, 447 
Richelieu, Armand Jean de Plessis Her¬ 
zog von 24 
Riesel, Hans 202 
Ringelnatz, Joachim 22 
Ringstellung 117, 118, 120, 142, 163, 288, 
411, 412, 417-420, 426-427, 459 
Rittler, Franz 259 
Rivest, Ronald L . 201, 202, 203 
Robinson, Ralph M., 152 
ROBINSON AND CLEAVER 341 
ROCKEX 158 
Rogers, Henry 76 

Rohrbach, Hans VII, 2, 3, 71, 130, 217, 
221, 226, 237, 280-282, 358, 441, 452, 
454 

Rohrbachs Forderung 237, 257, 268, 357, 
368, 437 

Rohrbachs Maxime 217, 226, 459 
Rohwer, Jürgen 117, 451, 478 
Rollenwechsel 383, 401 
Romanini, Ch. Vesin de 297 
Rommel, Erwin 224, 393, 394, 426, 452 
Ronge, Maximilian 260, 448 
Röntgen-Strukturanalyse 463 
Room 40 Admiralty 421, 461 
Room 47 Foreign Office 32, 421 
Roosevelt, Franklin Delano 10, 70, 78- 
79, 129, 147, 214, 221, 433, 452-453 
Rosen, Leo 4, 149, 453 
Rosenberg, Julius und Ethel 159 
Roßberg, Ehrhardt 165, 388 
Rösser, J. Barkley 3 
Rossignol, Antoine 72, 73, 74, 223 
Rost-Methode 417 
Rothstein, J. 131 
rotierte Alphabete 109-111 
Rotor 112 

reflektierender (, Umkehr walze‘) 113, 
115 

-, ,langsamer‘ 142 
-, ,mittlerer‘ 142, 286, 288, 290 
-, ,schneller‘ 141, 286, 288, 416-417, 424- 
425 
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ROTOR-Chiffrierschritt 110-111, 112— 
115, 165, 285-286, 361 
Rotorenlage (, Walzenlage 4 ) 115, 411, 
417-420, 423, 429, 458 
-, Numerierung 115, 117 
Rotor-Fortschaltung, reguläre 139, 140, 
142, 143 

Rotscheidt, Wilhelm 399 
Rotterdam-Gerat 222 
Rotwelsch 15 

Rowlett, Frank 117, 145, 148, 149, 159, 
449, 460 

Rözycki, Jerzy 411, 416, 421, 424, 425 
RSA-Verfahren 188, 201-207, 209 
RSHA, Amt VI E 62, 63, 447 
RSHA-Funknetz 62 
Rückkopplung, Rückkoppelplan 426- 
434 

Rückwärts-VIGENERE 124 
Rudolf Mosse (Code) 77 
Rufzeichen 62, 89 
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Lösung zum zweiten Cryptoquip von Abb. 87: 

I=m. Einstieg mit Suche nach Mustern 1211234 (KRKKRLH) und 53675 (ULZIU). 
Unter den etwa ein Dutzend Möglichkeiten sind nur einige wenige nicht allzu ausge¬ 
fallen. Von diesen führen /peppery/ und nachfolgend (für 5r6m5) /aroma/ schnell 
zum Ziel: 
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